Le Data Act impose des obligations de partage de données aux fabricants d'équipements connectés et des éditeurs de services connexes. (Crédit Photo: Simon Kadula/Unsplash)
Adopté en 2023, le règlement européen sur les données est pleinement applicable ce 12 septembre. Ce texte vise à harmoniser les règles d'accès et une utilisation équitable des données en ciblant plusieurs activités, l'IoT, le cloud ou les administrations.
Après le RGPD et le Governance Data Act, l'Europe se dote d'une réglementation supplémentaire sur les données avec le Data Act. Négocié en 2022 sous la présidence française et voté en 2023, le texte vient de rentrer pleinement en vigueur aujourd'hui. Il a pour objectif de réguler les règles d'accès et un usage équitable des données dans l'Union européenne. Dans le viseur du règlement, plusieurs secteurs sont touchés comme l'Internet des Objets, mais aussi les fournisseurs de cloud ou le secteur public.
Plus de concurrence dans le cloud
Avec un marché européen dominé par AWS, Microsoft et Google Cloud, le Data Act ambitionne d'injecter plus de concurrence sur ce marché en supprimant les barrières fixées par les fournisseurs dominants pour accéder aux services cloud concurrents. En premier lieu, le règlement impose la fin des frais de transfert de données et de migration. Un premier pas a été fait en 2024 avec l'abandon des frais de sortie par le trio d'opérateurs américains. Google Cloud vient d'aller un peu plus loin en annonçant cette semaine la fin des frais pour le transfert des données vers d'autres clouds. Pour l'instant, Azure et AWS maintiennent ces frais.
Autre point, le règlement introduit des mesures visant à promouvoir l'élaboration de normes d'interopérabilité pour le partage des données et pour les services de traitement des données. Les fournisseurs doivent mettre en place des interfaces ouvertes et au minimum exporter les data dans un format standard. Ils doivent garantir aussi une « équivalence fonctionnelle » en cas de migration d'un cloud à un autre. Enfin, une attention particulière est portée sur les clauses contractuelles des opérateurs de services cloud avec des exigences minimales (assistance à la réversibilité, continuité de service, sécurité des données, effacement ,...).
Libérer le partage de données pour l'IoT
L'autre pilier du Data Act porte sur le partage des données sur le marché de l'Internet des Objets (IoT) pour le B2B (entre entreprises) et le B2C (vers le consommateur). Le texte prévoit que les utilisateurs de produits connectés (dispositifs médicaux, machines industrielles ou agricoles...) et de services connexes (les différentes applications embarquées) auront accès aux données générées par les équipements et les partager. Le texte fixe des obligations pour l'écosystème IoT : un accès sur demande, le transfert sur demande et un accès dès la conception dans un format compréhensible. Les sociétés concernées disposent d'une exception sur les informations liées au secret des affaires.
Avec cette décision, l'UE entend déverrouiller l'usage des données qui sont concentrées dans les mains des fabricants ou éditeurs majoritairement étrangers. En libérant les données de l'IoT, le Data Act ouvre plusieurs opportunités notamment dans le domaine du service après-vente. Ainsi, un industriel disposant de machines connectées pourra confier à un tiers les données de ses différents équipements et obtenir des conseils personnalisés. Aujourd'hui, il est obligé de faire appel à chaque fabricant pour résoudre les problèmes.
Une réquisition des données par l'administration
Volet moins connu du règlement, les organismes publics peuvent accéder dans certains cas à des données (personnelles ou non) détenues par des entreprises du secteur privé. Le texte distingue les cas d'urgence et non-urgent. Le premier concerne les crises sanitaires, les cyberattaques ou les catastrophes naturelles. Dans ce cadre, la demande de l'administration doit respecter le caractère exceptionnel du besoin d'information et proportionnel pour l'exécution de sa mission d'intérêt public.
Le second cas cible des informations nécessaires et de manière exceptionnelle pour des situations non-urgentes (accès des données GPS pour améliorer le flux de trafic, besoin sur des travaux de recherche, ...). Sur ce point, l'administration ne pourra avoir accès qu'à des données non personnelles. Les demandes doivent être spécifiques, transparentes et proportionnée. Une fois le travail accompli les informations doivent être effacées.
Suivez-nous