Le règlement européen sur les données entrera en vigueur le 12 septembre. Il vise entre autres à faciliter le partage des données entre les entreprises. Mais quelles en sont les implications concrètes pour vous et votre entreprise?
‘Le règlement sur les données s’inscrit dans la stratégie européenne en matière de données qui a pour objectif de créer un marché unique des données’, explique Heidi Waem, associée chez DLA Piper, un cabinet d’avocats spécialisé notamment dans les lois sur les technologies. Ce règlement sur les données est l’un des nombreux actes législatifs européens liés aux données et à la technologie numérique. ‘Le règlement sur les données a cependant le gros inconvénient qu’il s’assimile surtout à un patchwork de règles adoptées dans le but combler certaines lacunes laissées notamment par le règlement sur la gouvernance des données et le règlement général sur la protection des données. La législation s’en trouve très éparpillées, ce qui nous a déjà causé quelques maux de tête, à nous et surtout à nos clients’, sourit-elle.
Mais cela n’en rend pas le règlement sur les données moins important que le GDPR pourtant plus connu, par exemple. ‘Ce règlement reste quand même un game changer’, pointe Claude Rapoport, président de Beltug et membre de l’équipe d’experts B2B Data Sharing and Cloud Computing qui a planché sur le texte avec la Commission européenne ces dernières années. ‘Il a pour objectif principal de construire une économie des données fondée sur un accès équitable aux données. Nous observons que l’économie des données est en plein essor et la Commission souhaite en réguler les différents aspects par le biais de la loi.’
Partage des données
L’un de ces aspects est la structure actuelle de l’économie des données. ‘Aujourd’hui, il y a des entreprises qui possèdent vos données et les utilisent pour gagner de l’argent’, poursuit Claude Rapoport. ‘Mais la Commission veut dynamiser ce marché en obligeant le détenteur des données à les partager. De cette façon, d’autres parties pourront les utiliser pour créer de nouvelles choses. Sans ces règles, il ne serait pas aisé d’amener les grandes entreprises à partager leurs données.’
‘Sans ces règles, il ne serait pas aisé d’amener les grandes entreprises à partager leurs données.’
‘Dans l’internet des objets, par exemple, la Commission craignait que les données générées par un appareil ne profitent qu’à celui qui met l’appareil sur le marché’, embraie Heidi Waem. ‘Cela n’apporterait pas grand-chose à l’utilisateur. C’est pourquoi il y a maintenant une obligation de partage. Celle-ci s’applique à la fois aux données générées par les appareils proprement dits et à celles produites par les applications liées à votre réfrigérateur intelligent, par exemple. En tant qu’utilisateur, vous pourrez également demander certaines de ces données.’
Dans la pratique
Le règlement sur les données distingue trois acteurs : le détenteur des données, l’utilisateur et le destinataire des données, c’est-à-dire la personne qui recevra les données. Si vous lisez un peu entre les lignes, vous verrez que le règlement contourne ainsi la question de la propriété de ces données. Il n’en parle pas : dans le règlement, les seuls éléments qui importent sont qui détient les données, d’où elles proviennent et où vous voulez les envoyer.
‘Prenons l’exemple d’une voiture ‘intelligente’’, explique Claude Rapoport. ‘Il s’agit fondamentalement d’un produit en réseau qui envoie des données au constructeur automobile. Mais si vous êtes un bon conducteur, vous pourriez vouloir transmettre certaines de ces données à votre assureur pour le prouver et obtenir ainsi une police moins chère. À qui appartiennent ces données ? Aux yeux du règlement sur les données, cela n’a aucune importance. La seule question qui compte est de savoir qui détient les données. Dans ce cas-ci, il s’agit du constructeur automobile, qui aura l’obligation de les transmettre ces données à votre assureur si vous le lui demandez.’ Concernant cette même voiture, votre constructeur automobile peut également disposer de données provenant des capteurs qui mesurent l’état de vos pneus. Le constructeur est ainsi en mesure de vous envoyer un message lorsque ces pneus doivent être remplacés et vous demander de passer dans ses ateliers. En vertu du règlement sur les données, vous pourrez cependant lui demander d’envoyer les données provenant de ces capteurs à votre centrale des pneus. L’objectif est d’ouvrir un peu le marché et de laisser la possibilité à davantage de (petites) entreprises de participer à l’économie des données.
‘Mais il est difficile de prévoir ce qui va se passer’, note Heidi Waem. ‘Dans le secteur industriel, il existe de nombreuses applications basées sur des capteurs qui mesurent une foule de paramètres pour des bâtiments et de grosses machines, par exemple. Il y a également de nombreuses entreprises spécialisées dans la création de tableaux de bord. On peut donc se demander quelles données seront mises gratuitement à disposition. Ce sera en tout cas obligatoire pour les ‘données brutes’ et les métadonnées, mais une fois que vous les avez collectées et avez mis au point les algorithmes et l’intelligence nécessaires, vous n’entrez plus dans le champ d’application du règlement.’
Connaissez la législation sur les données
L’UE a développé une stratégie numérique afin de développer l’économie des données. Pour la mettre en œuvre, elle a adopté plusieurs instruments législatifs sur les données et le partage des données. Un petit rappel.
Le règlement sur les données (DA) : A pour objectif de créer un marché unique des données au sein de l’UE. Ce règlement porte essentiellement sur les données ‘industrielles’ comme les données provenant de l’internet des objets, mais il comporte également un chapitre important sur le stockage dans le cloud.
Règlement sur la gouvernance des données (DGA) : Un règlement un peu plus concis et plus ancien qui vise à améliorer la confiance dans l’économie des données en établissant notamment des règles pour les ‘courtiers en données’, c’est-à-dire les entreprises qui collectent et partagent vos données. Le DGA établit quelles données peuvent être réutilisées et comment, et quelles données sont protégées et comment, y compris pour les données du secteur public.
Le règlement général sur la protection des données (RGPD) : Le règlement le plus connu, qui porte spécifiquement sur les données à caractère personnel. Il donne notamment aux citoyens la possibilité légale de demander les données que les entreprises détiennent à leur sujet et leur permet de choisir les données qu’ils souhaitent partager ou non.
Pas Google
Réserve importante : vous ne pourrez manifestement pas envoyer ces données à Meta ou à Google. ‘L’utilisateur peut demander ses données, mais celles-ci ne pourront pas être envoyées à un ‘contrôleur d’accès’ ou gatekeeper’, explique Claude Rapoport.
La notion de ‘contrôleur d’accès’ provient d’un autre texte législatif européen : le règlement sur les marchés numériques (Digital Markets Act ou DMA) qui vise à ouvrir les marchés numériques et exige notamment des contrôleurs d’accès qui exploitent une grande plate-forme qu’ils y laissent de la place à des concurrents plus petits. C’est par exemple en vertu du DMA qu’Apple a dû autoriser l’installation d’app stores alternatifs sur les iPhone. Le DMA recense actuellement six contrôleurs d’accès : Alphabet, Amazon, Apple, ByteDance, Meta et Microsoft.
La première amende DMA dans l’UE pourrait être infligée à Apple
‘Si le règlement sur données n’intégrait pas une telle disposition, on peut imaginer que les grands hyperscalers mettent en péril le marché des données’, explique Claude Rapoport. ‘Ce, alors que le règlement vise explicitement à permettre aux petites et moyennes entreprises d’accéder à des données qu’elles pourront utiliser pour développer leurs nouvelles idées. La Commission veut éviter que les contrôleurs d’accès ne collectent encore plus de données pour devenir ainsi un système omniscient au sein de l’UE.’
Dans le cloud
L’une des nouveautés les plus notables du règlement sur les données, et peut-être la plus impactante pour de nombreuses entreprises, est ce qu’il prescrit pour les contrats de services ‘en nuage’, c’est-à-dire dans le cloud. Dans le cadre de la ‘libre circulation des données’, le règlement veut en effet mettre un terme au ‘verrouillage’ des contrats de cloud computing.
Aujourd’hui, moins de 5% de ces contrats comportent une véritable ‘clause de sortie’, a calculé Beltug. ‘L’accès aux données dans le cloud est problématique depuis plusieurs années, car de nombreux clients sont bloqués’, explique Claude Rapoport. ‘Ils ne savent pas comment récupérer leurs données, combien cela va leur coûter et comment ils pourront transférer ces données.’
‘L’accès aux données dans le cloud est problématique depuis plusieurs années, car de nombreux clients sont bloqués’
Il s’agit donc d’un débat ancien et, il y a quelques années, l’Union européenne avait déjà exhorté les fournisseurs de services cloud à s’autoréguler. Cet appel s’est finalement avéré insuffisant. Résultat : le règlement sur les données prévoit désormais une obligation, qui sera introduite par étapes. Ainsi, le coût d’un changement de fournisseur ne pourra plus être excessif, en tout cas d’un point de vue purement contractuel. À partir du 12 septembre, il ne pourra dépasser le coût ‘réel’ de l’opération. À partir du 12 janvier 2027, tout changement de fournisseur devrait même être gratuit.
En outre, les fournisseurs devront permettre un changement efficace. ‘C’est une petite révolution’, affirme Claude Rapoport. ‘À partir du 12 septembre par exemple, les fournisseurs de services cloud ne pourront plus faire obstacle aux entreprises qui souhaitent changer de fournisseur.’ Qu’est-ce que cela signifie ? ‘Par exemple, on ne pourra pas faire d’un changement de fournisseur une opération techniquement complexe’, explique Heidi Waem. ‘Les données devront être exportables.’
Deadline
Les nouveaux contrats devront également être adaptés au règlement sur les données. À partir de cette semaine par exemple, tout fournisseur devra y indiquer qu’il aidera le cas échéant son client à changer de fournisseur. Les fournisseurs de services cloud se voient également imposer plusieurs deadlines. Dès lors qu’un client signale qu’il souhaite changer de fournisseur, le règlement sur les données donne au fournisseur 30 jours pour le permettre ou proposer un nouveau délai. Ce nouveau délai ne pourra pas dépasser sept mois.
‘Aujourd’hui, quand vous voulez changer de fournisseur de services cloud, la règle est simple : tirez votre plan’, sourit Claude Rapoport. ‘Ces entreprises ne vont pas dépenser un centime pour aider leurs clients à changer de fournisseur. Ce type de règle a déjà fait ses preuves sur d’autres marchés. Par le passé, changer de fournisseur de télécommunications ou d’énergie relevait aussi du parcours du combattant. Ce n’est absolument plus le cas aujourd’hui.’
‘Pour de nombreuses entreprises, un projet de migration dans cloud est déjà un processus complexe. On peut se demander s’ils voudront le reprendre à zéro avec un autre fournisseur.’
‘Reste à savoir ce qui se passera dans la pratique’, pointe Heidi Waem. ‘Il y a par exemple ce délai maximum de sept mois, alors que les grands projets prennent parfois plus d’un an. Il faut donc voir si ce délai est vraiment réaliste.’ Transférer un service de frais de voyage d’un cloud à un autre est très différent de migrer l’ensemble de son infrastructure informatique… ‘Pour ces entreprises, c’est de toute façon un processus complexe’, explique Heidi Waem. ‘On peut donc se demander si elles voudront le recommencer à zéro avec un autre fournisseur.’
Clauses
Autre changement dans les contrats de services cloud : les conditions sont durcies. ‘L’article 13 du règlement sur les données interdit par exemple les clauses contractuelles abusives’, note ainsi Claude Rapoport. Pensez à des contrats qui limitent la responsabilité du fournisseur pour certaines violations de données, alors que celle des clients reste illimitée.
‘Il faut cependant pouvoir prouver que l’on a protesté contre la clause abusive’, précise Claude Rapoport. ‘Si vous disposez d’e-mails dans lesquels vous les dénoncez par exemple, vous pourrez saisir la justice et faire supprimer la clause en question.’ Mais cela signifie également que si votre entreprise n’a pas négocié, vous ne disposerez pas de preuve et vous ne pourrez donc pas obtenir de nouveau contrat avant une éventuelle prolongation.
Dans la pratique
Comment cela se traduira-t-il dans la pratique ? Pour de nombreux consommateurs, ce sera surtout un peu de paperasserie supplémentaire. De la même manière que le GDPR impose déjà de donner son consentement pour les produits et services, on sera peut-être amené à cocher quelques options liées au règlement sur les données chaque fois que l’on achète un ‘appareil intelligent’.
‘La technologie devient un secteur hautement réglementé’
Pour les entreprises, ce sera des obligations de conformité supplémentaire. Le règlement sur les données vient s’ajouter à la législation antérieure, comme les règles de sécurité du NIS2 et les règles relatives aux données du GDPR. ‘La technologie est en train de devenir un secteur hautement réglementé’, remarque Heidi Waem. ‘C’est assez nouveau. Le secteur bancaire l’est par exemple depuis un certain temps, mais la technologie était nettement plus libre. On peut y voir une contradiction entre l’innovation que l’Europe veut stimuler et l’argent que les entreprises devront investir dans la compliance. L’objectif du règlement sur les données est de valoriser le développement de nouveaux modèles d’affaires, mais il faut voir combien d’entreprises pourront réellement tirer profit de cet aspect positif.’
Quoi qu’il en soit, beaucoup dépendra de la manière dont il sera appliqué. ‘Chaque pays doit encore désigner sa propre autorité pour superviser le respect du règlement’, rappelle Claude Rapoport. ‘Tous les produits en réseau et autres contrats de services cloud seront-ils assortis de clauses supplémentaires dès le 12 septembre ? Peut-être pas encore. Pourtant, le règlement sur les données sera déjà d’application.’