Près d’un an avant son application, le Règlement européen « Règlement sur les données » dit « Data Act » [1] a fait l’objet d’une Foire Aux Questions récemment publiée par la Commission européenne. Cette FAQ nous livre plusieurs éclairages précieux quant à la mise en œuvre du Data Act.
1. Retour sur le Data Act
Pour mémoire, le Règlement européen « Data Act » a introduit différentes règles ayant pour objectif de favoriser l’accès aux données et leur utilisation tout en restant conforme aux règles et aux valeurs de l’Union européenne.
Le Data Act a notamment introduit :
- Des règles concernant l’utilisation des données générées par les objets connectés ;
- Des mécanismes prévenant les abus de déséquilibres contractuels dans le partage des données (pour protéger, en particulier, les PME) ;
- Des moyens permettant aux organismes publics d’accéder et d’utiliser des données détenues par le secteur privé nécessaires à des fins spécifiques d’intérêt public ;
- Des règles visant à faciliter le changement de fournisseur de services de traitement de données pour un client (services SaaS notamment, etc.).
Le Data Act est entré en vigueur le 11 janvier 2024, mais la majorité de ces dispositions ne seront applicables qu’à compter du 12 septembre 2025.
2. La FAQ sur le Data Act
Publiée par la Commission européenne le 6 septembre 2024, la FAQ a pour objectif d’« aider les parties prenantes à mettre en œuvre les dispositions légales ».
Cette FAQ vise ainsi à une mise en œuvre efficace du Data Act en clarifiant certaines règles, en particulier des définitions et des interprétations/applications/interactions avec d’autres règlementations de l’UE.
Sans valeur juridique contraignante – la Commission ayant également souligné que ce document ne se substitue notamment pas à des interprétations à venir de la CJUE -, la FAQ n’en reste pas moins une base de référence sur les implications pratiques du Data Act dont les dispositions restent complexes. A noter, par ailleurs, que cette FAQ se veut « vivant[e] » c’est-à-dire qu’elle a vocation à évoluer « au fur et à mesure des besoins ».
Longue de 40 pages, la FAQ revient, en particulier, sur l’interaction du Data Act avec d’autres règlementations de l’UE (RGPD, etc.), l’accès aux données et l’utilisation de celles-ci dans le contexte des objets connectés, les abus dans les contrats de partage de données entre entreprises, l’accès aux données entre entreprises et administrations ou encore le passage d’un service de traitement des données à un autre.
3. Quelques illustrations éclairantes
A titre d’exemples, la FAQ relative au Data Act précise / confirme les points suivants :
- Les « données facilement accessibles », concernées par le partage de données relatives aux objets connectés et aux services associés entre entreprises et utilisateurs, visent seulement les données générées ou collectées après l’entrée en vigueur du Data Act ;
- Le fabricant d’un objet connecté peut prévoir, par contrat, que l’utilisateur protège certaines données directement accessibles et ce, afin d’assurer la protection des secrets d’affaires ;
- Les fournisseurs d’objets connectés hors UE sont concernés par le Data Act à partir du moment où ils mettent sur le marché de tels outils dans l’UE ;
- Un groupe d’experts travaille actuellement sur l’élaboration de deux jeux de clauses contractuelles types, l’un concernant le partage des données et l’autre les contrats de cloud computing, lesquels devraient être publiés avant le 12 septembre 2025.
Concernant, plus spécifiquement les conditions de changement de services de traitement des données, la FAQ :
- Confirme que les fournisseurs doivent réduire leur frais de changement de fournisseurs – en les limitant aux « coûts » encourus pour un tel changement – du 11 janvier 2024 au 12 septembre 2027 ; au-delà de cette date, les fournisseurs ne sont plus autorisés à facturer ce type de prestations ;
- Indique que le processus de changement inclut la sortie des données, ce qui confirme que la prestation de changement de fournisseurs va au-delà et comprend notamment une prestation d’assistance (celle-ci n’étant toutefois pas reprécisée).
A suivre…