B. DES CLARIFICATIONS ET DES COMPLÉMENTS SONT NÉCESSAIRES

Les objectifs poursuivis par la proposition de règlement en matière d'accès et d'utilisation des données apparaissent pertinents et la mise en place d'une législation européenne horizontale définissant des règles harmonisées à ces effets est bienvenue. Il est toutefois indispensable de veiller à son articulation avec les régimes européens sectoriels existants et à venir, par exemple en matière de données de santé.

Pour renforcer l'efficacité du cadre proposé, plusieurs précisions et compléments devraient en outre lui être apportés.

1. Préciser quelles sont les données visées

La proposition de règlement définit les données comme « toute représentation numérique d'actes, de faits ou d'informations et toute compilation de ces actes, faits ou informations, notamment sous la forme d'enregistrements sonores, visuels ou audiovisuels » (art. 2§1), tandis que son article premier indique que les données qu'elle vise sont celles qui sont générées par l'utilisation d'un produit ou d'un service lié.

Sans que cela soit explicité, il en résulte qu'il s'agit de données industrielles brutes, non modifiées, non interprétées, ni ajoutées, émanant de la source primaire que constitue l'objet connecté ou un service lié à celui-ci, dont les caractéristiques sont liées à cette source et qui n'ont été soumises à aucun traitement ou autre manipulation25(*).

Afin de définir plus clairement la nature des données et le caractère connecté de leur source, il paraît nécessaire de préciser qu'il s'agit de données industrielles brutes résultant directement de l'utilisation d'un objet connecté ou de services liés.

2. Affirmer la primauté des règles de protection des données à caractère personnel

L'utilisation d'un produit ou d'un service lié, en particulier par une personne physique, peut générer des données se rapportant à cette personne identifiée ou identifiable. Ainsi que l'évoque le considérant n° 30 de la proposition de règlement, des données se rapportant à la personne concernée et des données non personnelles peuvent se trouver inextricablement liées dans un ensemble de données. Le considérant précise qu'en pareil cas, le traitement de ces données est soumis au RGPD, comme le prévoit d'ailleurs l'article 2§2 du règlement du 14 novembre 2018 relatif au libre flux des données à caractère non personnel.

Dans la mesure où l'objet connecté n'est pas exclusivement utilisé par son seul propriétaire ou loueur mais par les membres du foyer ou les salariés d'une entreprise (qui utilisent par exemple des véhicules connectés mis à leur disposition), le considérant précise également que, lorsque les données générées par l'utilisation de tels produits et services ne sont pas produites par l'utilisateur, celui-ci devrait être considéré comme « responsable du traitement des données » au sens de l'article 6§1 du RGPD. Le propriétaire de l'objet connecté ou son loueur doit alors disposer à ce titre d'une « base juridique » pour le traitement des données et respecter les obligations lui incombant en cette qualité.

Dans la suite d'une recommandation du Comité européen de la protection des données et du Contrôleur européen de la protection des données, figurant dans leur avis conjoint du 4 mai 2022 sur la proposition de règlement, il est indiqué, à l'article 1er§3 de la proposition de règlement, que celui-ci est « sans préjudice de l'applicabilité du droit de l'Union sur la protection des données à caractère personnel »26(*).

Toujours en cas de partage des données avec des tiers, l'article 6§2 (b) interdit l'utilisation par le tiers des données qu'il reçoit à des fins de profilage de personnes physiques au sens du RGPD, sauf à ce qu'une telle utilisation soit nécessaire pour fournir le service demandé par l'utilisateur.

Ces précisions sur les interactions entre les textes européens applicables en matière de protection des données à caractère personnel, en particulier le RGPD, ainsi que les compétences reconnues en la matière aux autorités de contrôle indépendantes sont bienvenues27(*) mais les rapporteurs de la commission des affaires européennes considèrent que la primauté des règles européennes de protection des données à caractère personnel, quelle que soit la situation, devrait être expressément affirmée.

Afin de prévenir toute incertitude pour les données à caractère personnel figurant parmi les données recueillies, la primauté des règles européennes de protection des données à caractère personnel sur celles de la proposition de règlement sur les données doit être rappelée.

3. Renforcer la protection des droits des utilisateurs sur les données

La proposition de règlement reconnaît à l'utilisateur un droit d'accès « aisé, sécurisé et direct » aux données produites par l'utilisation d'objets connectés et de services liés. Il impose, pour faciliter la mise en oeuvre de ce droit, que cet accès soit techniquement prévu dès la conception de l'objet connecté.

Encore faut-il que ces données soient compréhensibles pour l'utilisateur et qu'il puisse facilement les utiliser.

Afin de permettre un accès effectif de l'utilisateur aux données générées par l'utilisation d'objets connectés et de services liés et une réutilisation facile de ces données, le format des données doit être compréhensible, structuré, habituel et lisible, et les métadonnées nécessaires à leur interprétation doivent également être communiquées à l'utilisateur.

Une information préalable de l'utilisateur est prévue par la proposition de règlement, en particulier sur les données qui seront générées par l'utilisation de l'objet connecté et des services liés, les modalités d'accès à celles-ci et les conditions de leur ouverture à un tiers, en particulier lorsque ces données relèvent pour partie de secrets d'affaires.

Dans le même esprit, des limites sont également posées à l'utilisation des données par leur détenteur, y compris pour évaluer la situation économique, les actifs ou les méthodes de production de celui-ci.

Pour conforter la protection de l'utilisateur contre des limitations injustifiées de ses droits sur les données, l'identification de clauses de nature à porter une atteinte injustifiée aux droits de l'utilisateur sur les données qu'il génère pourrait être utilement engagée et les clauses abusives ainsi identifiées devraient être privées d'effets.

4. Faciliter le partage des données avec des tiers

Au vu des objectifs de partage de la valeur et d'ouverture des données aux micro, petites et moyennes entreprises mis en avant par la Commission face au pouvoir de marché des détenteurs des données, l'interdiction de partager ces donnés avec des contrôleurs d'accès apparaît justifiée.

S'agissant de la dispense de l'obligation de mise à disposition des données prévue pour les micro et petites entreprises, elle peut être admise en raison des coûts induits par la mise en conformité à laquelle ces entreprises devraient procéder. Il toutefois est prévu que les micro et petites entreprises qui ont des entreprises partenaires ou des entreprises liées ne puissent pas prétendre au bénéfice de cette dispense.

Les rapporteurs estiment, dans le même esprit, que les micro et petites entreprises ayant un lien avec un fabricant de produits connectés ou un fournisseur de services liés devraient également être écartées du bénéfice de cette dispense.

La dispense de l'obligation de mise à disposition des données prévue pour les micro et petites entreprises ne doit pas pouvoir bénéficier à celles d'entre elles qui ont un lien avec un fabricant de produits connectés ou un fournisseur de services liés.

Au-delà, et plus généralement, le fait que le volume de données générées par les objets connectés et les services liés qu'elles mettent à disposition ne soit pas pris en compte pour définir le périmètre des entreprises considérées comme de trop petits acteurs pour être soumises à certaines obligations en lien avec le numérique mérite un examen attentif, dans un secteur où le nombre de salariés peut être très réduit mais l'activité en matière de données importante.

Enfin, il est admis que la mise à disposition des données peut être facturée dès lors que la compensation est raisonnable et non discriminatoire, le détenteur des données devant alors en fournir les bases de calcul.

Afin de prévenir des abus au détriment des bénéficiaires du partage des données, des critères permettant de considérer qu'une compensation est « raisonnable et non discriminatoire » doivent être définis.

5. Assurer une protection contractuelle équilibrée des secrets d'affaires et prendre en compte les impératifs de sécurité

Dans certains cas, les données peuvent être susceptibles de révéler des informations sur la méthodologie mise en oeuvre par leur détenteur. Des mesures techniques et opérationnelles peuvent alors être prévues d'un commun accord entre l'utilisateur et le détenteur des données. Des mesures peuvent également être convenues entre le détenteur de celles-ci et le tiers bénéficiaire.

Le cadre contractuel de protection de secrets d'affaires susceptibles d'être révélés par des données brutes en cas de demande d'accès et de transmission de celles-ci doit être équilibré et ne pas excéder les exigences de protection de tels secrets.

Toutefois, lors des auditions auxquelles ils ont procédé, l'attention des rapporteurs a été attirée sur les risques attachés à la communication de certaines données brutes qui peuvent révéler des informations sur le fonctionnement des objets connectés et mettre ainsi en péril leur sécurité.

La protection de secrets d'affaires ne saurait justifier un refus de communiquer les données à l`utilisateur, l'empêcher de les utiliser ou de les partager avec un tiers dans les conditions prévues par le règlement. Toutefois, un refus de transmettre les données doit pouvoir être opposé si le détenteur démontre que la divulgation de secret d'affaires est de nature à avoir des conséquences dommageables sérieuses, en particulier au regard de la sécurité de l'objet.

6. Encadrer l'accès aux données par des autorités publiques

Le dispositif proposé en matière de mise à disposition d'organismes publics de données en raison d'un besoin exceptionnel est présenté par la Commission comme constituant « un cadre proportionné, limité et prévisible », qui tient compte des contraintes des détenteurs des données et garantit la sécurité juridique (considérant n° 61). Les rapporteurs jugent toutefois indispensable de le préciser afin de ne pas imposer des obligations injustifiées ou excessives aux entreprises qui détiennent les données concernées.

a) Préciser la nature des situations exceptionnelles visées

Un besoin exceptionnel d'utiliser les données est réputé exister en cas d'urgence publique. Celle-ci est définie comme « une situation exceptionnelle ayant une incidence négative sur la population de l'Union, d'un État membre ou d'une partie de celui-ci, entraînant un risque de répercussions graves et durables sur les conditions de vie ou la stabilité économique, ou la détérioration substantielle d'actifs économiques dans l'Union ou dans les états concernés » (art. 2 (10)).

La définition de la nature de l'urgence et ses conséquences apparait particulièrement large. Afin de ne pas donner une portée excessive à l'obligation de mise à disposition, les rapporteurs préconisent que l'urgence et ses conséquences soient précisées.

Une définition précise de la nature de l'urgence (santé, catastrophe naturelle, catastrophes majeures d'origine humaine, cyberattaques) ainsi que de ses conséquences (y compris sur la stabilité économique ou des actifs économiques majeurs) permettrait de mieux encadrer le déclenchement de l'obligation de mise à disposition de données et sa portée.

Afin de ne pas permettre un recours injustifié à la mise à disposition contrainte de données détenues par des entreprises privées, l'accent doit être mis sur l'obligation pour l'organisme public demandeur de justifier qu'il n'est pas en mesure d'obtenir rapidement les données concernées, y compris en les achetant.

b) Encadrer la portée de l'obligation de mise à disposition en l'absence d'urgence

Il est prévu, même en l'absence d'urgence, qu'une mise à disposition de données peut également être imposée, faute de données disponibles, pour permettre à un organisme public de s'acquitter d'une mission spécifique d'intérêt public.

En l'absence de définition de la notion de mission spécifique d'intérêt public, les rapporteurs considèrent que la portée de l'obligation d'ouverture de données alors qu'il n'y a pas d'urgence doit être plus précisément encadrée afin de ne pas abusivement priver des entreprises des bénéfices qu'elles peuvent retirer des bases de données qu'elles ont constituées.

L'utilisation des données mises à disposition d'un organisme public pour lui permettre de s'acquitter d'une mission spécifique d'intérêt public doit être strictement limitée à l'objet de cette mission.

Elle doit en outre veiller au respect des droits et libertés des personnes, en particulier lorsqu'il s'agit de données à caractère personnel qui ne peuvent pas être anonymisées.


* 25 Ces données quantitatives sont fiables si l'objet qui les a produites a été convenablement étalonné et si le processus de collecte n'est pas biaisé.

* 26 Soit principalement :

- la directive 2002/58/CE du 12 juillet 2002 « vie privée et communications électroniques » (prochainement remplacée par un règlement éponyme) ;

- le Règlement général sur la protection des données (RGPD) du 27 avril 2016 ;

- la directive relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données ;

- le règlement relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions, organes et organismes de l'Union et à la libre circulation de ces données du 23 octobre 2018.

* 27 Les rapporteurs ont notamment pu échanger sur ce point avec des représentants de la Cnil.