Le Data Act à l'épreuve de la réglementation relative à la protection des données personnelles

La multiplication des textes visant un cadre européen cohérent de la donnée produit des interactions complexes. Les autorités européennes reviennent sur leur articulation avec le Data Act.

Le Data Act, qui représente la plus récente brique ajoutée à l’édifice réglementaire européen visant à construire un cadre juridique et une stratégie cohérente de la donnée, est une proposition législative qui a été formellement annoncée le 23 février 2022 par la Commission européenne.

Les débats engendrés par cette annonce se sont très vite portés sur deux thématiques cruciales : la première étant relative aux impacts économiques et concurrentiels des mesures proposées par le texte, la seconde aux inévitables enjeux en termes de vie privée et de protection des données personnelles posés par ces nouvelles règles.

En lien précisément avec cette seconde préoccupation, le Contrôleur européen de la protection des données ainsi que le Comité européen de la protection des données ont publié le 4 mai 2022 un avis commun portant sur l’articulation et l’adéquation entre la proposition du Data Act et le paradigme actuel de la protection des données en Europe. Une occasion pour nous de revenir sur les enjeux liés à ce texte, ainsi que les défis potentiels qu’il apporte en termes de protection des données.

Retour sur le Data Act

Avant de nous pencher plus précisément sur l’aspect relatif à la protection des données, rappelons brièvement l’esprit du Data Act et les principales mesures qu’il cherche à implémenter.

La Data Act vise à établir des règles harmonisées concernant l’accès aux données générées par les objets connectés (Internet of Things, IoT) ainsi que les différents services qui y sont liés tels que les assistants virtuels. Il s’agit principalement, dans ce cadre, d’ouvrir et de faciliter l’accès, la gestion et le partage de ces données pour les consommateurs comme pour les organisations économiques tierces.

Afin d’y parvenir, l’une des mesures phares du texte réside en l’obligation, pour les fournisseurs d’objets connectés et de services liés, de créer automatiquement une interface par le biais de laquelle les utilisateurs auront la possibilité d’accéder aux données générées par leur appareil ou leur service, de les gérer, mais aussi de les partager avec une tierce partie. Une telle obligation devra bien entendu être mise en balance avec le droit, pour le fournisseur de l’objet connecté ou du service (appelé data holder, détenteur des données), de protéger ses informations confidentielles, ses secrets d’affaires et ses droits de propriété intellectuelle.

Il s’agit d’une obligation significative d’autant que la tierce partie pourrait tout à fait être un concurrent direct du détenteur des données ; et ce compétiteur est tout à fait en droit d’utiliser les données partagées par les utilisateurs afin de développer un produit ou service alternatif à celui du détenteur de données (même si un tel produit/service ne doit malgré tout pas être strictement similaire et concurrencer directement le produit/service du détenteur de données).

Remarquons également que les Gatekeepers (contrôleurs d’accès) au sens du DMA (Digital Market Act) sont explicitement exclus des tierces parties autorisées à recevoir les données partagées par les utilisateurs des produits/services des détenteurs de données ; une précision cohérente dans l’effort entrepris par l’exécutif européen de combattre les phénomènes de monopole et d’accaparement des données par les géants du numérique.

Le Data Act introduit une obligation, pour les détenteurs de données, de permettre aux autorités publiques nationales et européennes d’accéder à leurs données dans des cas exceptionnels d’urgences publiques (attaque terroriste, crise sanitaire, catastrophe naturelle…). L’accès devra alors être proportionné, limité à ce besoin urgent, et l’organisme public ne devra pas conserver les données ainsi partagées.

Pour conclure ce retour sur les grands axes du Data Act, remarquons qu’il est assez clair que les mesures proposées bénéficieront aux tierces parties qui seront principalement constituées de fournisseurs de services complémentaires et de maintenance, tout en retirant aux fabricants d’objets connectés et aux concepteurs de services associés leur monopole sur les données générées par leur utilisation par les consommateurs. Un changement dans l’équilibre des forces sur ce marché en pleine expansion qui explique les vives discussions qui entourent aujourd’hui l’adoption du texte sur le plan économique.

Data Act et protection des données

Au-delà de l’aspect strictement économique, un enjeu différent mais tout aussi crucial réside dans l’impact du texte en termes de protection des données et de la vie privée. C’est précisément sur cette question que le Contrôleur européen de la protection des données ainsi que le Comité européen de la protection des données se sont penchés dans le cadre de leur avis commun publié le 4 mai 2022.

Il est en effet très clair que les données concernées par le Data Act comprendront des données à caractère personnel, voire des données sensibles au sens du RGPD, notamment dans le cadre de la forte croissance de l’utilisation d’objets connectés relatifs à la santé. D’où l’intérêt particulier porté par les deux autorités européennes de protection des données.

Ces dernières remarquent et saluent dans un premier temps les efforts déployés dans la proposition de texte afin d’intégrer les mesures du Data Act dans le paradigme européen actuel de protection des données et de permettre une articulation claire des différents textes. Malgré tout, deux points d’attention principaux ont été soulevés et pourraient constituer des insuffisances quant à la protection des données des utilisateurs d’objets connectés.

Premièrement, le Contrôleur et le Comité européen de la protection des données soulignent l’absence de limitations ou de restrictions relatives aux finalités pour lesquelles les tierces parties pourraient utiliser les données partagées par les utilisateurs. Les deux autorités insistent sur la nécessité de mettre en place de telles restrictions, en particulier lorsque les données concernées permettent de tirer des conclusions particulièrement précises quant aux personnes concernées. Au minimum dans de tels cas de figure, il est recommandé que le texte introduise des limitations claires interdisant ou encadrant l’utilisation de telles données à des fins de marketing direct ou de publicité ; de surveillance des employés ; de calcul ou modification des primes d'assurance ; et de notation de crédit. Le Contrôleur et le Comité européen de la protection des données ajoutent que des protections particulières devraient également être introduites pour les utilisateurs mineurs.

Le second point d’attention est relatif à l’autorisation d’accès exceptionnel des autorités publiques européennes et nationales aux données des détenteurs de données en cas de besoin urgent et exceptionnel. Les autorités européennes de protection des données remarquent qu’un accès aux données personnelles des citoyens européens devrait toujours reposer sur une base légale permettant de définir précisément l’étendue et les modalités d’accès aux données, et être accompagné de garanties appropriées permettant un recours contre toute ingérence arbitraire. En l’état, la définition et les contours de la possibilité offerte aux autorités publiques dans le cadre de cette exception sont bien trop flous pour être satisfaisants de ce point de vue, et il ainsi nécessaire de définir de manière plus précise et stricte les hypothèses et modalités d’accès exceptionnel aux données permises par ce mécanisme.

Pour conclure, le Data Act constitue une brique supplémentaire apportée à la stratégie européenne de la donnée. La proposition vise à permettre un accès plus large aux données générées par l’utilisation des objets connectés, ainsi qu’un contrôle plus fin sur celles-ci par leurs utilisateurs. Au-delà des enjeux économiques évidents supposés par l’adoption d’un tel texte, des questions tout aussi cruciales se posent en termes de protection des données, qui ont été posées par le Contrôleur européen comme par le Comité européen de la protection des données dans leur avis commun ; des questions qui devront être prises en compte par les co-législateurs afin de conserver un paradigme européen permettant un haut niveau de protection des données personnelles des citoyens.