Isabelle Budor (Capgemini Invent) "Le Data Act mise sur les smart contract pour libéraliser la donnée en Europe"

La Commission européenne a présenté un premier texte visant à aboutir à un marché commun de la data. La vice-présidente de Capgemini Invent réagit à cette première mondiale.

JDN. Le projet de Data Act présenté par la Commission européenne le 23 février dernier va-t-il dans le bon sens ?

Isabelle Budor est vice-présidente de Capgemini Invent, la branche de conseil de Capgemini.  © Capgemini

Isabelle Budor. Avec ce texte, la Commission européenne reste concentrée sur sa ligne directrice. A savoir : favoriser la concurrence tout en protégeant les droits de l'Union européenne, en particulier sur le terrain de la propriété intellectuelle en vue de préserver une forme d'équité entre petits et gros acteurs. Pour résumer, l'objectif est de libéraliser le potentiel de la donnée en posant un certain nombre de règles de bon sens.

L'idée globale du texte est de favoriser l'échange de données entre entreprises européennes pour favoriser l'innovation ou la co-innovation. Et ce en tentant de limiter l'exploitation des données par des sociétés et gouvernements non-européens. L'un des principaux intérêts du texte est de définir clairement les rôles et responsabilités de chacun des partis : créateur de la donnée, opérateur, hébergeur, consommateur.

Le texte parait très pragmatique. Il indique par exemple que le prix à payer pour accéder à ces données ne pourra pas excéder le coût technique de leur transfert...

C'est une mesure, certes pragmatique, mais pas si nouvelle que ça. En matière d'open data, la directive européenne sur la réutilisation des données publiques introduisait déjà la notion de quasi-gratuité, une quasi-gratuité du fait du coût technique de mise à disposition qui n'est pas nul. Plus globalement, l'objectif du Data Act est de s'assurer que ce coût reste raisonnable.

L'idée est également de faire en sorte que le coût d'accès aux données soit encore amoindri pour les TPE-PME. Ce qui est, en revanche, nouveau comparé à la réglementation sur l'open data. Derrière cette mesure, on cherche à favoriser les petits, c'est-à-dire les start-up et leur capacité d'innovation face aux gros qui ont pu tirer profit de l'open data à bon compte. C'est un changement de cap.

Ce sera aux autorités compétentes, sous-entendu locales, que reviendra la mission de mettre en place les pénalités qui devront être "dissuasives".

La Commission européenne ne semble pas prendre pas en compte les données d'IA de deuxième niveau intégrées aux modèles de machine learning suite à leur entrainement. N'est-ce pas dommage ?

Sur ce point, la proposition aurait pu en effet être plus claire et demande à être explicitée. Cet élément transparait néanmoins en filagramme dans une partie du texte dont voici le verbatim :

"Le titulaire des données ne doit pas utiliser les données générées par l'utilisation du produit ou du service associé afin d'obtenir des informations sur la situation économique de l'utilisateur ou de ses actifs ou méthodes de production ou les utiliser de toute autre manière qui pourrait nuire à la position commerciale de l'utilisateur sur les marchés sur lesquels il est actif."

Le texte insiste aussi beaucoup sur la nécessité de mettre à disposition les données au nom du bien public...

Depuis quelques années émerge un débat autour des données qui relèvent du bien commun. C'est un débat que nous avons déjà eu avec les données médicales, qui sont à la fois des informations personnelles et confidentielles, et utiles au bien commun. Ce nouveau texte vient sanctuariser le fait que certaines données peuvent être utilisées dans cette optique. Il se veut équilibré en préservant tous les droits fondamentaux dans la droite ligne des valeurs de l'Union européenne. Le texte ne donne pas d'exemple précis. Mais on devrait se situer ici autour des sujets sanitaires, sociaux et environnementaux, notamment.

La proposition de la Commission insiste sur le chiffrement comme moyen de protéger les données hébergées par des clouds étrangers, contre les lois extraterritoriales. Là encore, c'est une première ?

Sur cette question, le Data Act mise sur les smart contract pour libéraliser la donnée. C'est un élément très intéressant et absolument clé du texte. Les smart contracts sont présentés par la Commission comme un moyen pour une entreprise d'en autoriser une autre à accéder à ses informations.

"Avec les smart contracts, la Commission propose un mode de chiffrement conditionnel, que l'on peut verrouiller ou déverrouiller en fonction des utilisateurs"

On a considéré jusqu'ici l'accès à la donnée comme du tout ou rien. Avec les smart contracts, la Commission propose un mode de chiffrement conditionnel, que l'on peut verrouiller ou déverrouiller en fonction des utilisateurs, via un système de contractualisation transparent entre les parties en présence.

La volonté de standardisation du texte n'est-elle pas la principale avancée qu'il pourrait introduire ?

Complètement. C'est un aspect qui commençait déjà à transparaître dans le RGPD avec l'introduction du droit à la portabilité de données. Un droit très lié au sujet de la concurrence et au fait de vouloir rendre les individus libres c'est-à-dire non-prisonniers des entreprises qui auraient accumulé trop de données. Avec la libéralisation du marché européen des télécoms ou de l'électricité, on a déjà vu émerger des dispositifs permettant de passer d'un fournisseur à l'autre.

Désormais, l'UE s'attaque au marché de la donnée. Ce qui devrait passer par la mise en place de standards d'interopérabilité par secteur d'activité comme l'indique le texte à de nombreuses reprises. Cette perspective est cependant problématique pour les acteurs qui développent des services de bout en bout. Par exemple, un acteur des télécoms qui se déploie également dans la banque, la cybersécurité ou la santé. Son avantage compétitif basé sur la possibilité de mutualiser la donnée entre ces différentes activités pourrait se retrouver en contradiction avec le texte qui entend la libéraliser et fluidifier les échanges entre fournisseurs.

Sur ce point, je note d'ailleurs que la bascule d'informations entre services de data processing devra être effectuée, dit le texte, dans un délai d'une à quelques semaines selon les types de données. Ce qui pourra constituer une contrainte forte si le dispositif n'a pas été prévu.

Isabelle Budor est vice-présidente au sein de Capgemini Invent, où elle pilote l'offre Data, Privacy et Ethics depuis 2013. Après s'être concentrée sur les questions de protection des données personnelles, elle couvre désormais des sujets connexes, comme l'intelligence artificielle éthique et durable et, plus globalement, tous les sujets liés à la responsabilité sociétale des entreprises, de l'impact positif des organisations aux droits de l'homme numériques en passant par la protection de l'environnement.