Proposition de loi européenne sur les données : 3 enjeux majeurs

Depuis le 23 février, une proposition de loi relative aux données est en débat au sein de la Commission Européenne. Objectif : consolider la position de l'UE sur le marché technologique mondial.

Depuis l’adoption du Règlement Général de Protection des Données (RGPD) en 2018, l’Union Européenne est en quête d’une troisième voie. À mi-chemin entre le laisser-faire et le tout restrictif, l’UE s’attache à laisser de la liberté à l’accès ainsi qu’à la circulation des données tout en respectant les principes liés à la vie privée de chacun. Pour les 27 pays membres, la question est liée au respect des citoyens. Elle se révèle aussi intimement reliée au nécessaire développement économique des entreprises, sur des marchés mondialisés. Tel qu’il se trouve actuellement rédigé, le texte de l’Union Européenne soulève trois questions principales, pour ne pas dire trois enjeux majeurs.

Équilibre nécessaire en liberté des flux et vie privée

Le premier est de nature juridique, et vise à trouver le bon équilibre entre les flux exponentiels de données et la préservation non seulement de la vie privée, mais aussi de la sécurité et de l’éthique des citoyens européens. En l’espèce, le RGPD constitue un cadre strict. Trois murs porteurs le constituent : le contrôle par chaque individu de l’utilisation de ses données personnelles ; l’obligation de transparence pour les entreprises technologiques concernées ; la favorisation des mécanismes institutionnels qui viendront faciliter le respect de ces règles de protection.

Il est impératif que l’Union Européenne parvienne à débloquer le marché des données qui se trouvent collectées et exploitées par les fabricants des dispositifs IoT (applications intelligentes, domotique, objets connectés…). L’article 35 de la proposition de loi est ici au cœur des discussions : peu clair, il indique que les fabricants de dispositifs IoT intelligents ne bénéficient aucunement des droits sur les bases de données générées par l’utilisation d’un produit ou d’un service… sauf à faire jouer une directive de 1996, selon laquelle les transferts sont possibles sous forme de licence contractuelle à des tiers. Quoi qu’il en soit, la loi à venir devrait donner à l’ensemble des consommateurs et des entreprises le droit d’accéder aux données par les produits ou services auxquels ils souscrivent. Cela obligera les fabricants et concepteurs d’appareils IoT et de services connexes à concevoir les produits de manière à rendre les données aisément accessibles, et ce par défaut.

Veiller aux bonnes conditions de mise en concurrence

Le second enjeu que soulève la proposition de loi est liée au respect de la concurrence entre les GAFAM et les autres entreprises de l’écosystème de la Tech. Le texte évoque l’absence d’équité des clauses contractuelles dans les contrats de partage de données entre les entreprises. Que se passe-t-il dès lors qu’une clause contractuelle se trouve imposée de manière unilatérale à l’une des deux parties – le plus souvent par un leader du marché à une petite PME ou à une micro-entreprise ? C’est à cette question que le texte s’attache à apporter une réponse allant dans le sens de l’équité. La Commission Européenne envisage notamment de mettre en place des contrats type pour ces situations de partage de données où le déséquilibre est patent dans les négociations B2B.

Dans un même ordre d’idée, la proposition de loi vise à faciliter la libre circulation des données au sein des organisations publiques. C’est bien entendu la bonne tenue des politiques publiques qui est ici visée par le législateur européen. Comment structurer des secteurs éminemment sensibles tels que la santé publique, la gestion des catastrophes naturelles ou la sécurité routière ? Voici bel et bien la question qui se pose, dans un contexte où – nous l’avons vu avec la pandémie sur le Covid-19 – il est impératif que nos sociétés et nos gouvernements puissent agir le plus aisément possible pour le bien commun.

Favoriser la transmission des données entre les cloud

Troisième enjeu du texte : la facilitation du passage des données d’un cloud à un autre. Le recours de plus en plus fréquent aux solutions SaaS impose ici que le législateur fluidifie les ponts entre les différents services. Sur ce point, un double enjeu s’impose. Celui, d’abord, de l’interopérabilité : il faut que les exploitants puissent transférer la data sans accroc technique. Celui, ensuite, du respect du cadre existant au sein de l’UE en termes de protection des données et de la vie privée. Le texte propose ici de nouvelles garanties, spécifiques, qui amènent les fournisseurs à déployer l’intégralité des mesures techniques, juridiques et organisationnelles nécessaires. Le but consiste bien sûr à éviter que l’accès à la data ne se révèle contraire au droit de l’Union, tout en inscrivant le nouveau règlement dans les accords internationaux, commerciaux bilatéraux et dans ceux de l’Organisation Mondiale du Commerce.

À ce jour, la loi relative aux données est encore largement en devenir. Les réflexions, à la fois denses et plurielles, sont en cours et de nombreux points restent à définir. Pour autant, il convient dès aujourd’hui de souligner l’ambition de ce texte. Cette proposition pose en effet à la fois des questions éthiques, juridiques, économiques et sociétales. Elle servira de socle à l’essor exponentiel des solutions et produits – notamment liés aux dispositifs IoT – qui sont actuellement en plein développement.

Pour toutes ces raisons, il est important que le débat puisse avoir lieu au sein de l’écosystème des entreprises de la Tech, mais aussi au-delà, avec les individus et les citoyens qui se trouvent directement concernés. Le jeu en vaut la chandelle : selon l’UE, l’économie des données représentera d’ici 5 années quelque 829 milliards d’euros.