Data Act : quelle portabilité pour les données produites par l’IoT ?

Le marché des objets connectés (IoT), qui engendrent quantité de données, connaît ces dernières années une croissance à deux chiffres. Pour autant mesure-t-on l’impact  de cette expansion sur notre quotidien ? L’Europe poursuit sa stratégie sur les données.

La Commission européenne a adopté le Data Act le 23 février 2022, qui viendra, dès son approbation formelle, réguler le marché européen des données issues des objets connectés qui nous suivent au quotidien. L’objectif principal de ce règlement est d’apporter une réponse au manque d’accessibilité et d’interopérabilité des données produites grâce à des appareils et à des systèmes connectés.

Le Data Act aura pour mission la « facilitation du passage d’un traitement de données à un autre », c’est-à-dire permettre la portabilité de ces données au profit de leur producteur et l’harmonisation de leur transmission entre les acteurs économiques du marché intérieur.

La portabilité peut être définie dans ce contexte comme la capacité pour l’utilisateur de récupérer les données produites par les objets connectés pour en faire un usage personnel ou pour les transmettre à un tiers de son choix.

Le Data Act est un pendant du règlement général sur la protection des données pour les données issues de l’IoT et s’inscrit dans le plan de régulation européen actuel qui comporte également le Data Resilience Act, relatif à la cybersécurité pour les produits comportant des éléments numériques, et le Data Governance Act, qui vise à faciliter le partage des données entre les secteurs et les pays de l’Union européenne.

Le Data Act comprend deux axes majeurs permettant de renforcer la portabilité des données issues de l’IoT :

• la régulation du partage de données entre les consommateurs et les entreprises ou entre entreprises ;
• la facilitation du transfert de données lors d’un changement de service de traitement de données.

Concernant le volet relatif au partage de données, le Data Act instaure l’obligation de concevoir ou de fabriquer les dispositifs et les services connectés de façon que les données produites soient facilement accessibles aux utilisateurs. Il est également prévu la possibilité pour les utilisateurs de partager leurs données avec des tiers tout en interdisant à ces derniers de les exploiter pour développer des produits concurrents.

Les grandes plates-formes qualifiées de « contrôleurs d’accès » au sens du Digital Service Act auront, quant à elles, l’interdiction de demander aux producteurs le partage de ces données. Concernant le transfert de données, le Data Act a pour objectif de permettre le changement de fournisseur de services de traitement de données, en garantissant une équivalence fonctionnelle, et ce, dans un délai de trente jours et avec l’assistance du précédent.

La gratuité de cette procédure doit également être assurée. Enfin, le règlement envisage une normalisation européenne, afin de favoriser une interopérabilité dans un cadre européen, ainsi que l’imposition de garanties de sécurité des infrastructures cloud européennes, en obligeant les fournisseurs à prendre toutes les mesures techniques, juridiques et organisationnelles raisonnables pour empêcher un transfert international illicite de ces données.

Bio express

Avocat à la cour d’appel de Paris, Frédéric Forster dirige, depuis 2006, le pôle Télécoms du cabinet Alain Bensoussan Avocats Lexing. Il était précédemment directeur juridique du groupe SFR. Il est aussi vice-président du réseau international d’avocats Lexing.