Le règlement général sur la protection des données (RGPD) a donné des ailes à la Commission européenne. Après le RGPD, il y aura le Data Act ; la directive Open Data existe depuis 2019, le Data Governance Act, appliqué depuis juin (avec un délai de mise en conformité de 15 mois), et d’autres se préparent. Il y a là un risque de superposition de régulations qui se contredisent, ainsi que des autorités qui les superviseront. On peut craindre un manque de cohérence. Les Etats-Unis nous emboîtent le pas : la puissante autorité de la concurrence, la Federal Trade Commission, veut réguler la surveillance commerciale qui frappe le consommateur américain, alors que le Congrès planche sur un RGPD américain, l’American Data Privacy and Protection Act.
Mais les nouvelles régulations européennes auxquelles le RGPD s’applique ont un autre but : atténuer, en quelque sorte, les effets du RGPD. Car les données ne sont pas seulement personnelles : elles sont aussi un bien commun qui peut résoudre beaucoup de problèmes.
Le Data Act concerne les données produites par nos appareils ou par les services qui les utilisent. Elles appartiennent à ceux qui les créent, les utilisateurs, et pas seulement aux constructeurs ! Ces derniers devront mettre les données à disposition par l’intermédiaire de l’appareil, et, quand ce n’est pas possible, les envoyer à qui de droit sur demande. En contrepartie, ces données ne pourront pas être utilisées pour mettre au point un produit concurrent.
Le RGPD prévoyait un droit de portabilité de ses données personnelles. Mais, en pratique, le manque de formats interopérables ne permettait de les récupérer que pour soi. Ce droit est étendu par le Data Act aux données non personnelles et aux données des personnes morales, et prévoit qu’un utilisateur puisse confier ses données à un tiers. Mais les Big Tech sont maintenus en dehors de cette régulation. C’est tellement facile pour eux de collecter des données que la Commission n’a pas voulu leur donner cette possibilité supplémentaire.
Les organismes publics peuvent bénéficier de ces données, à condition de le justifier (urgence publique, service public), mais pas pour des enquêtes de police ou administratives. Il est possible de s’y opposer, si les données sont non disponibles ou si la demande n’est pas conforme au Data Act.
Tiers de confiance
Le Data Act permet donc de changer de prestataire de traitement de données, par exemple sur le cloud. Mais les droits des usagers et les obligations des gestionnaires de cloud en matière de données doivent être spécifiés dans le contrat. La Commission pourra imposer des standards d’interopérabilité. Comme pour le RGPD, les fabricants doivent prévenir toute demande illégale d’autorités hors Union européenne d’accéder aux données, en dehors des cas prévus par les traités d’assistance judiciaire mutuelle.
Il vous reste 60.18% de cet article à lire. La suite est réservée aux abonnés.