II. UN CADRE POUR FACILITER L'ACCÈS AUX DONNÉES INDUSTRIELLES ET LEUR UTILISATION
La proposition de règlement sur les données définit des règles harmonisées relatives à l'accès et à l'utilisation équitables des données, « tout en préservant un haut degré de protection de la vie privée, de sécurité, de sûreté et d'éthique »12(*).
Afin d' assurer une cohérence entre les divers droits d'accès aux données qui sont d'ores et déjà développés pour des situations spécifiques et avec des règles et des conditions différentes, notamment dans les secteurs de l'énergie13(*), des transports14(*), des services de paiement15(*), ou encore des données de santé16(*), ces règles ont une portée transsectorielle.
Même si le règlement sur les données serait sans préjudice des obligations sectorielles existantes en matière d'accès aux données, ces législations européennes sectorielles devront être évaluées et, le cas échéant, alignées sur ce règlement17(*), et, comme l'indique l'exposé des motifs de la proposition de règlement résolution, toute réglementation future en la matière devra lui être conforme.
A. DES DROITS POUR LES UTILISATEURS D'OBJETS CONNECTÉS ET DE SERVICES LIÉS SUR LES DONNÉES GÉNÉRÉES ET DES OBLIGATIONS À LA CHARGE DES DÉTENTEURS DES DONNÉES
La proposition de règlement reconnaît aux utilisateurs d'objets connectés un droit d'accès direct gratuit aux données générées par l'utilisation d'objets connectés et de services liés ainsi que le droit de partager ces données avec un tiers afin que celui-ci puisse leur fournir un service en lien avec ces produits. Ce droit d'accès ne serait toutefois pas opposable aux micro ou petites entreprises en raison de la charge technique et des coûts disproportionnés qui pourraient en résulter pour elles (art. 7).
Pour assurer l'effectivité de ces droits d'accès et de partage des données, la proposition de règlement en définit les modalités d'exercice, impose un ensemble d'obligations aux détenteurs des données et encadre les conventions de partage des données.
1. Les obligations des détenteurs des données
La proposition de règlement envisage de soumettre les détenteurs des données à un ensemble d'obligations juridiques et techniques pour que l'utilisateur puisse effectivement accéder aux données et les partager.
Même quand elles figurent dans des bases de données, ces données ne bénéficient en effet pas de la protection juridique sui generis prévue par l'article 718(*) de la directive 96/9/CE concernant les bases de données19(*), ainsi que l'indique expressément la proposition de règlement (art. 35).
Si l'utilisateur estime que ses droits en matière d'accès et de partage des données ne sont pas respectés, il peut introduire une plainte auprès de l'autorité nationale compétente chargée de l'application et de l'exécution du règlement (art. 3§2, a, et 31).
a) L'information préalable de l'utilisateur
Avant l'achat ou la location d'un objet connecté ou d'un service lié, il est prévu que l'utilisateur soit informé de ses droits sur les données qui seront générées par l'utilisation de l'objet et des services liés. Des informations claires et compréhensibles doivent ainsi lui être fournies, en particulier sur la nature et le volume des données susceptibles d'être générées, l'utilisation que le fournisseur fera de ces données et à quelles fins, ainsi que les modalités d'accès à ces données (art. 3§2).
L'utilisateur est également informé par le fournisseur de l'objet connecté de la manière dont il peut demander que les données soient partagées avec un tiers.
b) Des données accessibles et sécurisées
Les données générées doivent être facilement accessibles par l'utilisateur, et ce, de manière sécurisée. La conception et la fabrication des produits devront donc désormais intégrer ces contraintes dès la conception (by design) (art. 3§1).
Si pour des raisons techniques, l'accès aux données n'est pas possible, le détenteur des données devra mettre celles-ci à la disposition de l'utilisateur par voie électronique, sur simple demande, dans les meilleurs délais et de manière gratuite (art. 4§1).
c) La mise à disposition des données à un tiers à la demande de l'utilisateur, éventuellement assortie d'une compensation raisonnable
L'utilisateur a le droit de demander au détenteur des données de partager tout ou partie des données avec un tiers (art. 5§1). Toute clause contractuelle excluant l'exercice du droit de partage, y dérogeant ou en modifiant les effets, est inopposable à l'utilisateur (art. 12).
Afin de ne pas conforter le pouvoir de marché des grandes plateformes, il est prévu (art. 5§2) que ce tiers ne peut pas être un contrôleur d'accès désigné comme tel en application du règlement sur les marchés numériques20(*).
Les données transférées doivent présenter un niveau de qualité identique à celui dont bénéficie l'utilisateur et leur mise à disposition doit être faite de manière « équitable et transparente » (art. 8).
Le détenteur des données peut demander une compensation « raisonnable » des coûts de mise à disposition (art. 9§1). Toutefois, lorsque le destinataire est une micro, petite ou moyenne entreprise, il est prévu que seuls peuvent être compensés les coûts directement liés à la mise à disposition (art. 9 §2).
Dans tous les cas, les modalités de calcul de la compensation doivent être transparentes et non-discriminatoires (art. 9§4).
2. Une protection contractuelle de la confidentialité des données
Si l'existence de secrets d'affaires ne saurait constituer un obstacle recevable à l'accès aux données, des mesures visant à préserver leur confidentialité, en particulier à l'égard des tiers, peuvent être convenues entre le détenteur des données et l'utilisateur (art. 4§3).
Afin d'éviter l'utilisation ou la divulgation non autorisées de données, leur détenteur peut en outre appliquer des mesures techniques et contractuelles de protection (art. 11).
Par ailleurs, dans la mesure où les données générées peuvent permettre d'identifier certains éléments de la méthodologie de recueil et de traitement mise en oeuvre, il est expressément interdit à l'utilisateur de s'en servir pour mettre au point un produit concurrent de celui dont elles proviennent (art. 4§4).
3. L'utilisation des données pour la seule finalité prévue dans la demande de partage
La mise à disposition des données se fait aux fins et conditions convenues avec l'utilisateur pour la fourniture d'un service ou prévues par une législation spécifique.
En conséquence, dès lors que les données mises à disposition ne sont plus nécessaires à la finalité convenue (ou prévue par la législation spécifique), le tiers bénéficiaire doit les supprimer (art. 6§1).
Il est en outre interdit au tiers bénéficiaire de les transmettre à un autre tiers, sauf à ce que cela soit nécessaire pour la fourniture du service demandé par l'utilisateur, ou de les utiliser pour mettre au point un produit concurrent (art. 6§2, c).
Il est également formellement interdit au tiers bénéficiaire de se servir de ces données pour manipuler l'utilisateur ou à des fins de profilage (art. 6§2, a et b).
En cas de difficultés, les parties peuvent saisir un organisme de règlement des litiges certifié, dont la mise en place est prévue dans chaque État membre. Cet organisme devra prendre une décision sous 90 jours mais cette décision n'est contraignante pour les parties que si celles-ci ont expressément accepté son caractère contraignant avant le début de la procédure de règlement (art. 11).
4. Une protection contre les clauses contractuelles abusives en matière d'accès et d'utilisation des données
Afin que les détenteurs de données ne puissent pas imposer aux micro, petites ou moyennes entreprises des conditions abusives en matière d'accès aux données, d'utilisation de celles-ci, de responsabilité ou de voies de recours, qui les empêcheraient d'exercer leur activité, le chapitre IV (art. 13) encadre la liberté contractuelle des entreprises.
La Commission entend ainsi corriger des déséquilibres contractuels avérés alors que 99 % des entreprises pourvoyeuses de données et 98,8 % des entreprises utilisatrices de données dans l'Union européenne sont des micro, petites et moyennes entreprises21(*).
Une clause est considérée abusive si elle est « d'une nature telle que son utilisation s'écarte fortement des bonnes pratiques commerciales en matière d'accès aux données et d'utilisation de celles-ci, et qu'elle est contraire à la bonne foi et à la loyauté ». C'est ainsi que, lorsqu'elles ont été imposées unilatéralement, trois clauses sont considérées comme abusives à raison de leur objet ou de leur effet et cinq autres sont réputées l'être. Celui qui a pris l'initiative d'une telle clause ne peut alors l'opposer que s'il démontre le caractère négocié de celle-ci.
Pour faciliter l'élaboration de ces contrats et aider les parties à les rédiger et à les négocier de manière équilibrée, il est prévu que des clauses types seront élaborées par la Commission (art. 34).
5. La mise des données à la disposition d'organismes du secteur public
La proposition de règlement prévoit que les organismes du secteur public et des institutions, organes ou organismes de l'Union sont en droit d'utiliser des données détenues par des entreprises en raison d'un « besoin exceptionnel » (art. 14).
Les détenteurs des données doivent alors mettre les données demandées à disposition dans les meilleurs délais (art. 18), sauf si celles-ci ne sont pas disponibles ou lorsque la demande de mise à disposition ne respecte pas les exigences définies (art. 17).
Il est précisé que cette obligation est sans préjudice des autres obligations de mise à disposition de données prévues par le droit national ou le droit européen22(*).
Il est par ailleurs expressément interdit de faire usage des données ainsi mises à disposition à des fins de prévention et de détection d'infractions, d'enquêtes ou de poursuites.
Le non-respect de cette obligation - dont sont exemptées les micro et petites entreprises -, est passible de sanctions (art. 33).
a) Justifier d'un besoin exceptionnel
Trois situations sont considérées comme constitutives d'un besoin exceptionnel d'utiliser des données (art. 15) :
- lorsque les données sont nécessaires pour réagir à une urgence publique ;
- lorsqu'elles sont nécessaires pour prévenir une telle urgence ou contribuer au rétablissement à la suite d'une telle urgence : la demande de données doit alors avoir une durée et une portée limitées ;
- lorsque l'absence de données disponibles empêche l'organisme de s'acquitter d'une mission d'intérêt public prévue par la loi et que :
o soit il ne lui a pas été possible d'obtenir ces données par d'autres moyens (achat, obligation de mise à disposition) et que l'adoption d'une nouvelle législation ne permet pas que les données soient disponibles en temps utile ;
o soit l'obtention des données selon la procédure prévue par la proposition de règlement réduirait substantiellement la charge administrative pour les détenteurs des données.
La demande adressée au détenteur des données doit indiquer précisément les données demandées, démontrer le besoin exceptionnel pour lequel elles sont demandées et expliquer l'utilisation prévue des données et la durée de cette utilisation (art. 17§1). Cette demande est publiée en ligne dans les meilleurs délais (art. 17§2, f).
La demande doit être proportionnée au besoin en termes de granularité, de volume et de fréquence d'accès, et il est recommandé qu'elle ne porte pas, « dans la mesure du possible », sur des données à caractère personnel (art. 17§2, d), sauf si celles-ci peuvent être anonymisées.
Quant à la divulgation de secrets d'affaires, elle ne peut être imposée que lorsqu'elle est strictement nécessaire pour atteindre la finalité de la demande (art. 19§2).
b) Des données qui ne peuvent être utilisées qu'aux fins pour lesquelles elles ont été demandées
Les données ainsi obtenues ne sont utilisées que d'une « manière compatible » avec la finalité pour laquelle elles ont été demandées (art. 19§1, a)23(*). Elles doivent en conséquence être détruites lorsqu'elles ne sont plus nécessaires à la finalité indiquée (art. 19§1 c).
Ces données, qui peuvent être commercialement sensibles, ne peuvent être considérées comme des données publiques ouvertes disponibles pour une réutilisation24(*).
En revanche, elles peuvent être partagées avec d'autres organismes publics, ou un tiers en cas d'externalisation de leur traitement, pour répondre aux besoins ayant justifié la demande de mise à disposition (art. 17§4).
Ces données peuvent également être échangées dans le cadre de la coopération transfrontière et ne sont alors pas utilisées d'une manière « incompatible avec la finalité pour laquelle elles ont été demandées » (art. 22), sous le contrôle de l'autorité compétente de l'État membre (art. 31).
Il est par ailleurs prévu que ces données puissent être partagées avec des organismes de recherche ou des instituts de statistique dans le cadre de besoins exceptionnels (art. 21). Le détenteur des données en est alors informé.
c) Une compensation possible sauf en cas d'urgence publique
Sauf lorsqu'elle est demandée pour répondre à une urgence publique, il est prévu (art. 20) que le détenteur des données peut demander une compensation des coûts techniques, organisationnels et d'adaptation (y compris l'anonymisation) occasionnés par la mise à disposition.
* 12 Ursula von der Leyen, « Une Union plus ambitieuse -Mon programme pour l'Europe. Orientations politiques pour la prochaines Commission européenne 2019-2024 », 16 juillet 2019.
* 13 Règlement (UE) du Parlement européen et du Conseil du 5 juin 2019 sur le marché intérieur de l'électricité ; directive (UE) 2019/944 du Parlement européen et du Conseil du 5 juin 2019 concernant des règles communes pour le marché intérieur de l'électricité et modifiant le directive 2012/27/UE.
* 14 Directive (UE) 2010/40/UE du Parlement européen et du Conseil du 7 juillet 2010 concernant le cadre pour le déploiement de systèmes de transport intelligents dans le domaine du transport routier et d'interfaces avec d'autres modes de transport ; règlement (CE) n° 549/2004 du Parlement européen et du Conseil de 10 mars 2004 fixant le cadre pour la réalisation du ciel unique européen.
* 15 Directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur, modifiant les directives 2002/65/CE, 2009/110/CE et 2013/36/UE et le règlement (UE) n° 1093/2010, et abrogeant le directive 2007/64/CE.
* 16 Proposition de règlement du Parlement européen et du Conseil relatif à l'espace européen des données de santé, COM(2022) 197 final.
* 17 Par exemple la création de l'espace des données relatives au pacte vert qui devrait conduire à une extension du périmètre de la directive 2007/2/CE du Parlement européen et du Conseil du 14 mars 2007 établissant une infrastructure d'information géographique dans la Communauté européenne (dite INSPIRE).
* 18 Ce droit limite l'extraction et/ou la réutilisation de la totalité ou d'une partie substantielle de la base de données.
* 19 Directive du Parlement européen et du Conseil du 11 mars 1996 concernant la protection juridique des bases de données.
* 20 Règlement (UE) 2022/1925 du Parlement européen et du Conseil du 14 septembre 2022 relatif aux marchés contestables et équitables dans le secteur numérique et modifiant les directives (UE) 2019/1937 et (UE) 2020/1828 (règlement sur les marchés numériques - Digital Market Act ou DMA).
* 21 Il résulte du rapport d'étude finale de l'outil de surveillance du marché européen des données intitulé Faits et chiffres clés, premières conclusion, paysage des données et histoires quantifiée-, que 85 % des emplois créés ces dernières années dans le domaine des données l'ont été par ces entreprises.
* 22 Voir supra.
* 23 Et non pas, comme en cas de partage de données avec un tiers, aux seules fins pour lesquels ce partage est effectué.
* 24 Dans le cadre prévu par la directive (UE) 2019/1024 du Parlement européen et du Conseil du 20 juin 2019 concernant les données ouvertes et la réutilisation des données du secteur public.