Data Act : tout savoir sur ce nouveau règlement européen, censé vous offrir un meilleur contrôle de vos données personnelles

Les institutions européennes sont tombées d'accord autour du règlement sur les données, le Data Act, qui offrira aux citoyens de l'UE un accès amélioré à leurs informations personnelles. Celles-ci seront mieux encadrées, mais pas forcément moins diffusées.

Inondés comme nous le sommes par les objets connectés ou l'intelligence artificielle, nous ne pouvons nier que le volume de données générées à la fois par les Hommes et les machines ne cesse d'augmenter, devenant un enjeu majeur pour les entreprises, les utilisateurs et les autorités publiques. Ce mercredi 28 juin, les eurodéputés et le Conseil de l'Union européenne sont parvenus à s'entendre sur le Data Act. Cette loi européenne doit stimuler l'innovation en mettant fin aux barrières actuelles qui limitent l'accès aux données. Cinq ans après le RGPD, l'UE est sur le point de se doter d'un autre texte majeur sur les données personnelles.

Le Data Act, c'est quoi ?

Ce nouveau règlement sur les données établit les règles pour le partage des données par l'utilisation de produits, services ou machines connectés dans le monde de l'IoT en général. On peut notamment citer les appareils ménagers ou les voitures connectées. Mais ce sont tous les secteurs économiques qui sont concernés. Dans le même temps, le texte offre aux utilisateurs la possibilité de changer plus facilement de fournisseur dans le cloud et d'accéder (vraiment) aux données qu'ils génèrent au quotidien. Ils peuvent ainsi exercer un meilleur contrôle sur ces dernières, en tout cas sur le papier.

Lorsque vous achetez un appareil intelligent qui génère des données, vous ne savez généralement pas qui peut faire quoi avec les informations recueillies. Le Data Act doit donner aux particuliers et aux entreprises ce que l'Union européenne appelle un « droit à la portabilité renforcé ». Celui-ci permet la copie ou le transfert facile des données entre différents services, si ces données ont été générées par des objets ou appareils connectés.

Prenons le cas du propriétaire d'une voiture. Celui-ci pourra désormais choisir de partager ou non les données produites par son utilisation à son assureur. Les informations récoltées pourraient, en contrepartie, librement contribuer à améliorer des services, voire à en diminuer le coût. Dans notre exemple, elles permettraient aux compagnies d'assurance de signaler certaines zones à haut risque d'accident. « Il sera plus facile de transférer des données vers et entre des fournisseurs de services, ce qui encouragera davantage d'acteurs, y compris des PME, à participer à l'économie des données », explique la Commission européenne.

Encourager la production et la circulation des données tout en offrant un meilleur contrôle aux utilisateurs

L'UE est donc sur le point de relever l'audacieux pari de soutenir l'innovation (le développement des intelligences artificielles notamment) au sein de la zone par le biais de la récolte de données auxquelles les utilisateurs auraient plus facilement accès. Nous sommes ici face à une sorte de cercle à la fois vertueux et vicieux. L'Europe a besoin de renforcer son marché unique face aux mastodontes chinois et américain, mais l'on remet aussi une petite pièce dans la machine à fabriquer et à partager des données.

Autre point d'inquiétude : une frontière amincie entre le privé et le public. Le règlement, qui veut « libérer la valeur des données », permettrait par exemple aux autorités d'avoir accès à des données issues d'entreprises privées. L'Union européenne donne l'exemple des inondations ou incendies de forêt pour faire passer la pilule.

Mais les limites sont faites pour être franchies. « Si les données sont nécessaires pour répondre à une urgence publique, elles devront être fournies gratuitement. Dans d'autres situations – pour prévenir ou surmonter une urgence publique, ou pour remplir un mandat d'intérêt public imposé par la loi – le détenteur des données peut demander une compensation », nous explique Bruxelles. Pendant la période COVID, après tout, les données de géolocalisation, bien qu'anonymisées, étaient utilisées pour limiter la propagation du virus et limiter les foyers.

Lutte contre le transfert illégal de données et passage plus simple d'un fournisseur de services cloud à un autre : les autres points du Data Act

Notons que les députés européens ont pris soin d'intégrer certaines dispositions visant à prévenir les transferts illégaux et les fuites de données vers des pays dotés d'une réglementation moins regardante sur les données personnelles.

En outre, il deviendra plus facile de transférer des données et des applications d'un fournisseur de services cloud à un autre, sans avoir à engager de frais. Cela deviendra une réalité grâce aux nouvelles obligations contractuelles découlant du règlement. Les fournisseurs seront alors soumis à un nouveau cadre de normalisation pour l'interopérabilité des données et des services dans le cloud.

Aujourd'hui, les données générées ne sont exclusivement utilisées que par quelques acteurs, qui les verrouillent. Si les utilisateurs vont avoir un accès aux données, les petites et moyennes entreprises seront aussi protégées contre certaines clauses de partage ou d'utilisation des données. Une start-up qui s'appuie sur une base de données d'un géant de la tech pour développer un algorithme sera par exemple protégée d'une résiliation trop rapide du contrat, dans le cas où la grosse société développe un algorithme similaire à partir de la même base de données.

L'accord politique informel doit désormais être formellement approuvé par les deux colégislateurs (Parlement et Conseil de l'UE). Il s'agira de l'ultime étape avant son entrée en vigueur, prévue le 20^e jour suivant celui de sa publication au Journal officiel. Son applicabilité par les États membres devra, elle, se faire dans les 20 mois.

Sources : Commission européenne, Parlement européen, Clubic