L’UE dévoile son projet de règlement pour encadrer le partage de données IoT

La Commission européenne a publié son projet de Data Act, un texte qui vise à introduire de nouvelles règles sur le partage de données industrielles (non personnelles) en Europe. Cette proposition de cadre réglementaire entend compléter celui sur la gouvernance des données, approuvé en novembre dernier. Alors que ce dernier crée les processus et les structures destinés à faciliter le partage de données, le Data Act précise qui peut créer de la valeur à partir des données, et dans quelles conditions. «Nous voulons permettre aux consommateurs et aux entreprises de mieux contrôler ce qui peut être fait avec leurs données, en précisant qui peut y accéder et à quelles conditions. Il s'agit d'un principe numérique clé qui contribuera à créer une économie des données solide et équitable et guidera la transformation numérique d'ici à 2030», a déclaré Margrethe Vestager, vice-présidente de la Commission chargée de la numérisation.

Le communiqué de la commission résume les points clés du projet de Data Act. Le texte comprend entre autres des mesures permettant aux utilisateurs de dispositifs connectés d'avoir accès aux données que ceux-ci génèrent, et de partager ces données avec des tiers. D’autres mesures ont pour objectif de «rééquilibrer le pouvoir de négociation des PME en prévenant les déséquilibres contractuels excessifs dans les contrats de partage de données». Le Data Act décrit aussi comment les organismes du secteur public peuvent accéder aux données détenues par le secteur privé en cas de circonstances exceptionnelles et urgentes. Enfin, des règles permettent aux clients de changer facilement de fournisseur cloud, alors que des garanties contre les transferts illicites de données pourront en outre être mises en place.

Des gagnants et des perdants

Les réactions au projet de Data Act sont contrastées. Le Bureau européen des unions de consommateurs (BEUC) que le texte est essentiel pour la concurrence et le choix des consommateurs. «Par exemple, il devrait être possible de transmettre les données générées par un réfrigérateur intelligent à un concurrent ou d'y accéder par un service tiers si le consommateur le souhaite», lit-on dans le commentaire du BEUC. L’International Association of Privacy Professionals (IAPP) rapporte de son côté que certaines associations professionnelles ont réagi négativement à la proposition du Data Act, regrettant des obligations contraignantes plutôt que des incitations économiques. L’IAPP fait observer que la position d'une entreprise dans la chaîne d'approvisionnement déterminera si les obligations de partage des données lui seront bénéfiques ou néfastes. Fournisseurs, entreprises de maintenance et prestataires de services complémentaires fourniront de meilleurs services grâce à l'accès accru aux données. En revanche, les fournisseurs IoT perdront leur monopole sur les données générées par les utilisateurs.

Concernant le transfert international de données, l'accès aux données par les autorités et les tribunaux étrangers ne serait autorisé que s'il est fondé sur un accord international. «En d'autres termes, des conditions similaires à celles établies pour les données personnelles en raison de l'arrêt “Schrems II" s'appliqueraient à l'avenir aux données industrielles», résume l’IAPP.