Data Act : consensus européen sur le partage des données non personnelles

Au terme d’une ultime journée de négociations, la Commission européenne, le Parlement et le Conseil européens ont adopté une version finale du Data Act, le 27 juin 2023. Ce règlement vise à faciliter le partage et la valorisation des données non personnelles (et donc anonymisées), générées par les objets connectés et les services en ligne.

Pour la Commission européenne, le Data Act doit permettre la création « de nouveaux services innovants et de prix plus compétitifs pour le service après-vente ». Elle estime son impact à 270 milliards d’euros de PIB supplémentaire d’ici 2028. Les législateurs européens doivent encore améliorer techniquement le texte mais son adoption définitive devrait survenir courant juillet 2023, avec une entrée en vigueur 20 mois plus tard, en 2025.

« Le Data Act garantira que les données industrielles sont partagées, stockées et traitées dans le plein respect des règles européennes. Il créera une économie des données florissante, innovante et ouverte, mais dans le respect de nos normes européennes », a commenté le commissaire européen au Marché intérieur Thierry Breton.

Le Data Act accorde en effet aux utilisateurs de produits connectés « le droit d’accéder aux données qu’ils ont contribué à générer, de les porter ou de les partager avec un tiers de leur choix sur la base d’accords contractuels ». Il ouvre donc à un marché européen des données.

Avec l’accord des utilisateurs, les fournisseurs d’appareils ou de services connectés pourront ainsi partager, vendre ou concéder ces données à d’autres organisations, comme des start-ups ou des centres de recherche. Les utilisateurs pourront eux aussi monnayer l’accès à ces données non personnelles.

Les ultimes discussions ont permis de régler les dernières divergences entre les parties prenantes. Le devenir des données hors de l’Union européenne n’étant pas clair, l’application territoriale du texte se limitera aux destinataires établis dans l’UE. Si les organismes publics pourront aussi avoir accès à ces données, la version finale du Data Act encadre et limite davantage cet accès, pour éviter une perte de valeur des données sur le marché.

Mais la question la plus sensible était celle des secrets commerciaux car un partage de données trop souple risquait d’en divulguer indirectement certains. En mai 2023, cinq industriels allemands, dont SAP et Siemens, ont d’ailleurs fait part de leurs craintes à la Commission européenne sur ce sujet et sur des risques de fuite de données.

La version finale du Data Act introduit donc une « pause d’urgence », permettant aux opérateurs susceptibles de subir des « pertes économiques graves et irréparables » de refuser l’accès aux données liées à des secrets d’affaires.

Le texte ajoute également une exception au partage de données s’il risque de compromettre la sécurité informatique du fournisseur émetteur. Le Data Act exclut enfin de son champ d’application les données traitées au moyen « d’algorithmes propriétaires » complexes.