Les données occupent désormais une place centrale dans notre quotidien et représentent une ressource précieuse pour les entreprises. Pourtant, en pratique, elles sont souvent difficiles d’accès ou les entreprises sont réticentes à les partager.
Le « Data Act », un nouveau règlement européen qui entrera en vigueur en 2025, a pour objectif de faciliter et d’équilibrer l’accès à ces données afin d’en libérer tout le potentiel économique. Dès lors, nous pouvons affirmer que cette législation devrait stimuler l’innovation et accroître la concurrence.
Dans ce blogpost, nous discuterons de certaines des nouveautés du Data Act.
Un nouveau droit d’accès
Un des objectifs du Data Act porte sur l’obligation pour les entreprises de partager certaines données avec leurs utilisateurs ou clients. Cette obligation s’applique notamment aux entreprises qui proposent des services ou produits dits « Internet of Thing » (IoT), ou appareils « intelligents ». Pensez par exemple à une voiture autonome ou à un réfrigérateur intelligent.
Ces appareils collectent tous d’énormes quantités de données et il peut parfois être utile pour le client ou l’utilisateur d’y avoir accès, notamment à des fins de maintenance. Ce faisant, le Data Act impose aux entreprises de mettre ces données à disposition de l’utilisateur. Notez que cet utilisateur peut être soit un consommateur, soit une entreprise. Ainsi, même en tant qu’entreprise, vous pouvez bénéficier de ce droit d’accès !
Ce qu’il faut faire –En tant qu’entreprise, vous devrez vous assurer que les données puissent être partagées facilement avec le client ou l’utilisateur. Lorsque cela est possible et pertinent, ce partage devrait même être automatisé. Le Data Act exige que les produits et services soient conçus de façon que l’utilisateur ait un accès direct aux données. De plus, en tant que détenteur de ces données, vous avez l’obligation de fournir à l’utilisateur toutes les informations nécessaires avant la conclusion d’un contrat. Ainsi, en plus du droit d’accès, le Data Act introduit une nouvelle obligation de transparence pour les entreprises, renforçant la confiance dans l’utilisation des données.
Nouvelles règles pour les accords de partage de données en vertu du Data Act
Partage de données aux « conditions FRAND »
Lorsqu’une entreprise est légalement tenue de partager certaines données avec une autre partie, elle doit le faire dans des conditions équitables, raisonnables et non discriminatoires (appelées conditions FRAND, pour Fair, Reasonable, and Non-Discriminatory).
Cette obligation s’applique, par exemple, lorsqu’un utilisateur demande au détenteur des données de transférer celles-ci à un tiers. En effet, selon le Data Act, l’utilisateur a le droit de faire une telle demande. Dans ce cas, le détenteur des données devra alors conclure un accord avec ce tiers, en respectant des conditions équitables, raisonnables et non discriminatoires.
Ce qu’il faut faire. – Même si votre entreprise dispose déjà de modèles d’accord pour le partage de données, ceux-ci devront probablement être révisés afin de garantir leur conformité avec les nouvelles exigences du Data Act. Il est également important de vérifier si votre société est légalement obligée de partager des données avec d’autres entreprises. En prenant ces mesures dès maintenant, votre entreprise pourra se conformer de manière proactive.
Protection contre les clauses abusives
Le Data Act introduit également des règles spécifiques visant à éliminer les clauses injustes ou déséquilibrées dans les accords de partage de données. Il est important de noter que ces règles concernent uniquement les clauses imposées unilatéralement par une partie, et non celles négociées d’un commun accord.
Ces nouvelles protections s’appliquent à toutes les entreprises, qu’il s’agisse de grandes, moyennes ou petites structures. En pratique, cela signifie que les PME sont particulièrement protégées dans leurs relations avec les grandes entreprises. Ce sont souvent ces grands acteurs qui imposent unilatéralement certaines clauses, laissant peu de marge de manœuvre aux petites entreprises pour les renégocier
Le Data Act vise donc à changer cela et à rétablir l’équilibre.
De quelles clauses parlons-nous spécifiquement ?
Sur ce point, le Data Act distingue 3 types de clauses abusives :
- Clauses qui s’écartent considérablement des bonnes pratiques commerciales et clauses contraires à la bonne foi et à l’équité. C’est la catégorie générale. Si le recours à une clause de partage de données s’écarte autant des bonnes pratiques commerciales, cette clause peut être considérée comme injuste. In fine, seul un juge pourra le déterminer après coup ;
- Le Data Act inclut également une liste de clauses qui sont systématiquement considérées comme abusives. L’avantage est qu’il est possible dès la phase de négociation d’identifier à l’avance ces clauses. Par exemple, une clause stipulant que la partie qui l’impose n’assume aucune responsabilité, ou seulement une responsabilité limitée en cas de faute intentionnelle ou de négligence grave, est jugée abusive. Cela semble logique dans la mesure où elle prive la partie lésée de la possibilité de réclamer des dommages-intérêts ou une réparation.
- Enfin, le Data Act contient une liste de clauses présumées injustes. Toutefois, cette présomption peut être réfutée. Un exemple est une clause empêchant la partie « lésée » de résilier le contrat par anticipation.
Il est essentiel de noter que le Data Act définit clairement les situations où l’on considérera qu’une clause est imposée de façon unilatérale. Une clause est considérée comme unilatérale lorsqu’elle est rédigée par une partie, et que l’autre partie, même si elle a tenté de négocier, n’a en réalité exercé aucune influence sur son contenu. En d’autres termes, si une clause est présentée comme « à prendre ou à laisser », elle peut être jugée comme étant imposée unilatéralement.
Ce qu’il faut faire. – De manière générale, il convient d’éviter autant que possible les clauses imposées unilatéralement. Un accord correctement négocié reste préférable. N’oubliez pas non plus de documenter correctement les négociations. Vous devrez aussi pouvoir prouver qu’une clause est ou non unilatérale. Si un juge estime par la suite qu’une clause « injuste » a été négociée de gré à gré, la protection prévue par le Data Act disparaît irrévocablement. Alors soyez attentif !
Un nouveau droit d’accès pour le gouvernement
Enfin, le Data Act contient également de nouvelles règles sur l’accès par le gouvernement des données détenues par une entreprise. Cette obligation ne s’applique que si le gouvernement peut démontrer un besoin exceptionnel d’obtenir les données, en plus de justifier sa demande.
Ce qu’il faut faire – Si votre entreprise est invitée à donner accès à certaines données par un gouvernement, vous devez vérifier si toutes les conditions (formelles) sont remplies, et notamment si la demande est suffisamment justifiée. Le Data Act contient une série de conditions que l’agence gouvernementale doit remplir
Comment CRANIUM peut-il vous aider
L’équipe juridique de CRANIUM est prête à évaluer l’impact du Data Act sur votre organisation. CRANIUM peut notamment aider à négocier des accords de partage de données et à rédiger ou réviser des modèles existants. CRANIUM vous guide étape par étape pour devenir pleinement conforme au Data Act.