Focus sur le Data Act : Décryptage & calendrier

Qu’est-ce que le Data Act ?

Logique globale

Le Data Act est un texte que s’inscrit dans un plan global d’actions de la Commission européenne visant à assurer la souveraineté numérique de l’Europe à l’horizon 2030. Ce texte est également complémentaire de la stratégie européenne en matière d’intelligence artificielle.

Au niveau du périmètre d’actions, il est important de souligner que le Data Act ne concerne que les données des objets connectés. (NB : Ainsi les données provenant de l’utilisation des ordinateurs, des smartphones, des serveurs, des plateformes en ligne comme les réseaux sociaux et les moteurs de recherche, sont exclues du Data Act).

On parle alors de données “industrielles”, c’est à dire qu’il s’agit de données non personnelles, ce qui permet de les différencier de celles qui restent couvertes par la RGPD.

Le Data Act veut ouvrir la voie à une nouvelle économie de la donnée (issue de l’IoT) qui profite à tous et qui encadre comment les entreprises doivent permettre de créer de la valeur ajoutée à partir de leurs données. De notre point de vue, c’est une tentative ambitieuse de cadrer un marché en fort développement plutôt que d’attendre son apogée pour le réguler.

La Commission européenne estime que ce marché potentiel pour apporter entre 250 & 300 milliards € de PIB supplémentaire d’ici 2028 

Objectifs du Data Act

Au travers de ce texte l’Europe souhaite assurer sa souveraineté numérique grâce à l’adoption et la mise en application de ce décret, dont les ambitions majeures sont :

• Faciliter le partage des données générées via l’obligation de rendre accessibles les données générées par l’utilisation des objets connectés et services connexes, en contrepartie d’une compensation juste et équitable,
• Permettre l’utilisation de ces données par les entreprises européenne (Sauf DMA, et sous condition aux pays membres),
• Faciliter le changement de fournisseur de services de traitement de données (notion de « cloud switching »),
• Entériner une obligation de portabilité des données à la charge des entreprises qui les génèrent via leurs produits connectés (exigence générale et sectorielle d’interopérabilité),
• Mettre en place de nouvelles garanties contre les accès illicites de gouvernements de pays tiers aux données non-personnelles contenues dans le cloud.

Au travers de ces éléments, on comprends alors que l’ouverture du partage de la données est au coeur de ce texte. Dès 2015 des prémisses du sujet ont été observées avec la notion de Data Exchange qui portait sur l’ensemble des données des entreprises. Il manquait néanmoins au Data Exchange un certain cadre que le Data Act corrige aujourd’hui. Et le cadre que pose le Data Act est le suivant :

• La restriction du partage exclusivement sur les données industrielles,
• La définition d’un format et d’un standard d’interrogation et de mise à disposition,
• La définition de contrepartie juste et équitable. 

Au global, cela ouvre donc la voix de permettre ce partage avec des règles, mais également ne plus permettre le retour arrière pour les opérateurs qui partagent ce type de données. Ceci afin d’éviter des cas d’entreprises comme récemment Twitter qui a fermé ses API de partage de données … entraînant le fin de nombreux services tiers qui les utilisaient.

Les implications du Data Act

Avec ce règlement, la Commission Européenne souhaite ouvrir l’accès à un marché où le cloud est l’épine dorsale et lance des initiatives afin de lever certains obstacles de façon anticipée (Ex : Barrière au changement de fournisseur de services cloud et « commutation cloud »).

Au niveau des Entreprise ce texte va avoir des impacts, notamment des réorganisations internes d’envergures (comparables à celles qu’a impliquée le RGPD). Ces impacts vont impliquer :

• D’auditer leurs bases de données (cartographier les données industrielles, idem que RGPD pour les données personnelles)
• De mettre en place une nouvelle information précontractuelle exposant les nouveaux droits d’accès et de portabilité des données,
• De déployer des procédures internes afin de répondre efficacement aux demandes d’accès et de portabilité tout en limitant le transfert aux seules données pertinentes ;
• De garantir la portabilité des données ainsi que l’interopérabilité des services de traitement, en se conformant à des normes générales ou sectorielles (le Data Act se réfère à ce titre au Règlement européen 1025/2021 et aux normes que les organismes de normalisation pourront émettre à ce titre).

On peut alors parler de la naissance d’une notion d’«accessibility by design », à l’instar du « privacy by design & by default » introduit par le RGPD.

Conclusion 

Le Data Act est une réflexion globale qui divise les opinions :

• Il ouvre à des opportunités économiques certaines pour de nombreux acteurs
• Mais il n’est pas toujours bien perçu car il touche à de nombreux aspects (individuel, entreprises, cloud, accès état, …)

On peut néanmoins noter qu’il va dans le bon sens pour les droits des individus en autours de leur données et vient compléter les aspects RGDP, il tend vers la création de standard ou d’uniformisation des échanges de données et essaye d’anticiper des dérives à venir pour les entreprises qui se développent fortement dans le secteur de l’IoT (anticipation vers réaction).

Pour plus d’informations sur le sujet, n’hésitez pas à visionner l’émission Tech & Co de BFM Business dans laquelle AVISIA a été invité pour mettre son expertise au débat du sujet : Data Act : Quels enjeux pour le numérique de demain.

L’émission Tech & Co est à retrouver ici 

Les textes connexes au Data Act

Data Governance Act (DGA) :

Data Governance Act (« DGA ») adopté en mai 2022 et appliqué à partir du 24 septembre 2023 a pour but d’encadrer la réutilisation de certaines données du secteur public en créant notamment de nouvelles certifications et des services d’intermédiaires de données. Le DGA vise à favoriser le partage des données personnelles et non personnelles en mettant en place des structures d’intermédiation.

Digital Market Act (DMA) :

Encadre les acteurs numériques pour préserver un marché concurrentiel et restreindre les oligopoles des GAFAM (interopérabilité / auto- favoritisme / possible de désinstaller ou choisir un service tiers)

Digital Services Act (DSA):

Encadre les contenus échangés sur les réseaux sociaux afin de protéger les citoyens, notamment les plus jeunes, contre les contenus haineux et les fausses informations

****************************************

Ce décryptage a été effectué par AVISIA, Cabinet de Conseil spécialisé dans la Data, l’IA & le Digital. Régulièrement le cabinet met à disposition son expertise sur différents sujets d’actualité, ne loupez pas notre dernier regard sur la décision de l’UE et des Etats Unis sur les transferts de données personnelles.