Les entreprises fabriquant ou fournissant des produits connectés ou des services associés doivent se préparer à l’entrée en vigueur du Data Act. Le règlement s’appliquera à compter du 12 septembre prochain et promet des bouleversements.
Il rend obligatoire la mise à disposition, pour les utilisateurs, des données générées par l’utilisation de leurs produits ou services, et permet le partage de ces données avec des tiers choisis par les utilisateurs, selon des modalités équitables, raisonnables et non discriminatoires. Le règlement vise à garantir l’accès aux “données relatives au produit et aux services connexes au profit de l’utilisateur du produit connecté ou du service connexe“.
La notion de données concernées est large
Il s’agit principalement des données générées par l’utilisation de produits connectés et de services associés. “Relèvent du champ d’application du présent règlement les données qui ne sont pas substantiellement modifiées, c’est-à-dire les données sous forme brute, également appelées “données sources” ou “données primaires”, désignant des points de données qui sont générés automatiquement sans autre forme de traitement, ainsi que les données qui ont été prétraitées dans le but de les rendre compréhensibles et utilisables avant leur traitement et leur analyse ultérieurs… Les données qui doivent être mises à disposition devraient inclure les métadonnées pertinentes, y compris leur contexte de base et leur horodatage, pour rendre les données utilisables, combinées à d’autres données, telles que les données triées et classifiées avec d’autres points de données les concernant, ou reformatées dans un format couramment utilisé” stipule le texte.
Plusieurs types de données peuvent ainsi être concernés : vitesse, consommation d’énergie, localisation, évaluation d’usure… recueillies par un produit connecté, notamment dans le cadre de véhicules intelligents, d’appareils domestiques ou de dispositifs médicaux.
Le règlement indique : “Ces données comprennent les données collectées à partir d’un capteur unique ou d’un groupe de capteurs connectés, dans le but de les rendre compréhensibles pour des cas d’usage plus larges, en déterminant une grandeur ou une qualité physique, ou la variation d’une grandeur physique, telle que la température, la pression, le débit, l’audio, la valeur de pH, le niveau de liquide, la position, l’accélération ou la vitesse”.
Cartographier et classer les données
Les entreprises devront également cartographier rapidement les données et les classer comme personnelles ou non personnelles. En effet, “en cas de conflit entre le présent règlement et le droit de l’Union en matière de protection des données à caractère personnel ou de la vie privée, ou avec la législation nationale adoptée conformément audit droit de l’Union, les dispositions pertinentes du droit de l’Union ou du droit national en matière de protection des données à caractère personnel ou de la vie privée prévalent”. Cette approche pourrait donc conduire à devoir refuser l’accès à certaines données dès lors qu’elles sont susceptibles d’avoir un caractère personnel, jugées alors non partageables.
Par ailleurs, l’article 23 du règlement prévoit que les opérateurs de services cloud ou les plateformes devront assurer le transfert des données et des actifs numériques via un service d’assistance gratuit à partir de janvier 2027.
Les entreprises concernées doivent donc rapidement se saisir du sujet, intégrer les clauses contractuelles adaptées et mettre en œuvre les processus et outils sécurisés de mise à disposition des données.
Nous reviendrons prochainement sur la mise en application de ce texte.
