Le règlement sur les données (Data Act), adopté par le législateur européen le 13 décembre 2023, pourrait transformer radicalement la manière dont votre entreprise gère et partage les données, en particulier dans le domaine de l’IoT (Internet des objets) et des services de cloud. La plupart des exigences du Data Act seront applicables à partir du 12 septembre 2025.
C’est un grand pas en avant pour l’équité de l’accès aux données et de leur utilisation et la sécurité juridique, mais cela amène également son lot de défis et risques. Des sanctions effectives et dissuasives seront prévues par les Etats membres en cas de non-respect du règlement !
Quelles sont les obligations pour votre entreprise ?
Le Data Act apporte des changements majeurs :
- Partage des données IoT : le règlement impose une obligation de mettre à disposition des utilisateurs (et des tiers désignés par ceux-ci) les données générées par les produits connectés, services connexes et assistants virtuels (dans la mesure où ils interagissent avec un produit connecté ou un service connexe). Ces règles s’appliquent au bénéfice des consommateurs et des entreprises. Ainsi, l’utilisateur d’un véhicule connecté pourrait demander l’accès pour lui-même aux données générées par ce véhicule, mais aussi solliciter le partage de ces données avec un tiers, par exemple un garage spécialisé dans la réparation des véhicules connectés ou le fournisseur d’une application permettant l’évaluation des performances du véhicule.
- Obligation d’information précontractuelle : une série d’informations doivent obligatoirement être fournies aux utilisateurs avant la conclusion du contrat relatif à un produit connecté, un service connexe ou un assistant virtuel (par exemple, le volume estimé, le type et le format des données, leur durée de conservation, ou encore la manière dont l’utilisateur peut avoir accès aux données).
- Protection contre les clauses abusives : le Data Act protège les entreprises des déséquilibres contractuels, en établissant des normes pour les clauses contractuelles relatives à l’accès et à l’utilisation des données. En clair, les clauses contractuelles ou conditions d’utilisation devront être conformes à ces exigences pour être valides.
- Accès aux données par le secteur public : les entreprises détenant des données peuvent se voir réclamer le partage de ces données par un organisme du secteur public, la Commission européenne, la Banque centrale européenne ou un organe de l’Union dans une situation d’urgence ou, sous certaines conditions, pour l’exécution d’une mission d’intérêt public spécifique.
- Changement de services de traitement de données : le Data Act vise à faciliter l’échange et le traitement des données à travers différents services cloud, impactant ainsi la manière dont vous gérez vos données en ligne ainsi que les mesures techniques et contractuelles à adopter. Le Data Act protège l’utilisateur en facilitant la portabilité des données vers un autre fournisseur de services de traitement de données.
- Interopérabilité et contrats intelligents : le Data Act impose des exigences en matière d’interopérabilité des espaces de données (par exemple, le futur espace européen des données de santé (EHDS)). Des exigences sont en outre imposées pour le déploiement de contrats intelligents dans le cadre de l’exécution d’accords de partage de données. Des normes harmonisées devraient être élaborées dans ces domaines.
- Accès et transfert internationaux illicites de données à caractère non personnel : plusieurs garanties sont prévues contre l’accès illicite à des données à caractère non personnel par les autorités publiques de pays tiers et leur transfert illicite vers ces autorités. En cas d’ensembles de données mixtes (personnelles/non-personnelles), l’articulation de ces règles avec celles contenues dans le RGPD nécessitera une attention particulière.
Comment se préparer et s’adapter ?
Il est essentiel de comprendre et d’adapter vos pratiques commerciales pour être en conformité avec le Data Act. Cela peut impliquer de revoir la manière dont vous gérez les données, vos contrats existants, et vos pratiques de partage de données. Contrairement aux apparences, le délai précédant l’entrée en vigueur de ces nouvelles règles n’est pas très long, vu le temps nécessaire pour adapter des systèmes de gestion de données. Il convient donc d’anticiper les nouvelles obligations.
Our advice:
Vous vous interrogez sur l’impact du Data Act sur votre entreprise ? Vous souhaitez vérifier si vos contrats actuels sont en conformité avec cette nouvelle réglementation ?
Notre équipe de spécialistes est là pour répondre à vos questions et vous accompagner dans cette transition. Préparez dès à présent votre entreprise afin de ne pas être dépassé par vos concurrents !