- La P‑LD réglemente de manière extraterritoriale les données matérielles et pénètre ainsi également les produits et services des fournisseurs suisses sur le marché de l’EEE.
- Les fabricants doivent garantir un “accès aux données factuelles dès la conception” ; les utilisateurs bénéficient de droits étendus en matière de portabilité des données ; des exceptions sont prévues pour les PME.
- Le nouveau contrôle des clauses protège les PME dans le domaine B2B ; interdiction globale de certaines clauses de conditions générales et de contrats types prévue.
- Accès des autorités aux données privées possible en cas d’urgence ; changement de cloud, interopérabilité et protection contre les divulgations transfrontalières réglementés.
Avec son Projet de décret pour une loi sur les données (E‑DG), la Commission européenne a présenté le dernier élément de sa stratégie européenne en matière de données. Le P‑DG doit régler qui peut utiliser les données (y compris les données matérielles) produites dans l’EEE et y avoir accès. La Commission européenne espère ainsi créer un marché des données plus compétitif, plus équitable et plus innovant.
Champ d’application extraterritorial de la LDE
Comme le prévoit le règlement général sur la protection des données (RGPD), l’E-DG a un effet extraterritorial. Toutefois, contrairement au RGPD, la P‑LD s’applique également aux données matérielles. Les obligations qu’elle contient sont particulièrement pertinentes pour les fabricants suisses qui proposent des produits en réseau (“Internet of Things”) sur le marché de l’EEE. L’E-DSG cite comme exemples les véhicules, les biens de consommation ou les machines industrielles connectés. En revanche, les produits dont l’objectif premier est la présentation ou la transmission de contenus (p. ex. tablettes ou caméras) ne sont pas couverts par le champ d’application. De même, la P‑LPD est pertinente pour les fournisseurs suisses ayant des clients dans l’EEE de (i) services en nuage ou (ii) services numériques (y compris les logiciels) nécessaires à l’utilisation de produits connectés.
La LDE régit le traitement des données générées lors de l’utilisation des produits ou services susmentionnés (p. ex. données générées par les actions de l’utilisateur, données de diagnostic), indépendamment du fait que l’utilisateur soit une personne physique ou morale. Sont toutefois exclues du champ d’application les données que le fabricant ou le fournisseur calcule ou crée lui-même ou qu’il déduit d’une autre manière des actions ou des événements de l’utilisateur (consid. 14).
Droit d’accès aux données des appareils en réseau
L’E-DSG comprend entre autres
- le principe du “Accès aux données factuelles by design”. Les fabricants d’appareils en réseau ou les fournisseurs de services intégralement connectés à ces appareils doivent les concevoir de manière à ce que les utilisateurs aient accès aux données d’utilisation générées (art. 3, al. 1, P‑LPD). Pour atteindre cet objectif, la P‑LPD introduit obligations d’information précontractuelles (art. 3, al. 2, P‑LPD). L’information préalable doit porter, entre autres, sur le but et la transmission des données générées par l’utilisation de l’appareil. Les petites et moyennes entreprises (PME, art. 7 P‑LDI) ne sont toutefois pas concernées par ces obligations ; et
- le Droit de l’utilisateur à la portabilité des données (art. 4 P‑LD) des données générées dans le cadre de l’utilisation, dans certains cas même en continu et en temps réel (“real-time”). Comme sous le RGPD, l’utilisateur peut également demander à ce que les données soient directement mises à la disposition d’un tiers (art. 5, al. 1, P‑LD). Les “gatekeepers” au sens du Digital Markets Act n’entrent pas en ligne de compte en tant que tels tiers. Avec le droit à la portabilité des données, la Commission européenne veut notamment que les utilisateurs puissent faire réparer et entretenir leurs appareils connectés par des tiers à moindre coût (considérant 19).
Les PME bénéficient ici aussi d’une exception (art. 7 P‑LD). Les “grandes” entreprises qui se voient confrontées à un droit à la portabilité des données peuvent, le cas échéant, limiter ou refuser le portage sur la base de secrets commerciaux ou de droits de propriété intellectuelle (propres ou tiers). Il convient toutefois de noter que le P‑LD révise la directive européenne sur les bases de données de manière à ce que les bases de données contenant des données d’appareils et d’objets de l’Internet des objets ne bénéficient pas (ou plus) d’une protection similaire à celle du droit d’auteur.
Interdiction des clauses contractuelles abusives à l’égard des PME
De plus, la Commission européenne s’est fixé pour objectif de créer un pouvoir de négociation équilibré pour les PME – ceci par l’introduction d’une “clause de sauvegarde”. Contrôle des clauses dans le domaine B2B en faveur des PME. Cela s’avère être une atteinte globale à la liberté de contracter – d’autant plus que les PME sont souvent, mais pas toujours, en position de faiblesse lors des négociations avec les grands acteurs.
La Commission européenne considère que les clauses qui excluent ou limitent la responsabilité de l’utilisateur de conditions générales en cas de faute intentionnelle ou de négligence grave sont tout simplement illicites. Cela ne fera guère de bruit sur le marché suisse (cf. art. 100 al. 1 CO), ni dans d’autres ordres juridiques européens (cf. § 309 n° 7 BGB).
Toutefois, le catalogue des clauses présumées illicites est parfois beaucoup trop générique pour être gérable dans l’application du droit (“est significativement préjudiciable aux intérêts légitimes de l’autre partie contractante”). Il faut espérer ici que les Conditions contractuelles types La Commission européenne a l’intention d’élaborer un guide pour aider les PME à “rédiger et négocier des contrats équitables pour le partage des données”.
Droits d’accès des autorités aux données détenues par des personnes privées
En outre, la LDE prévoit des moyens pour les autorités d’accéder et d’utiliser les données détenues par le secteur privé qui sont nécessaires dans des circonstances particulières (p. ex. inondations, incendies de forêt), à condition que les données ne soient pas disponibles par ailleurs (article 14 LDE).
Changement de fournisseur de cloud
Le P‑LD introduit également de nouvelles dispositions pour permettre aux clients de l’EEE de changer effectivement de fournisseur de services en nuage et introduit des “mesures de protection contre les transferts illicites de données”. En particulier, les fournisseurs de cloud devront à l’avenir
- supprimer les obstacles économiques, techniques, contractuels et organisationnelsqui rendent un changement plus difficile. Par exemple, les clients doivent avoir la possibilité de résilier leur contrat après un délai de trente jours (art. 23, al. 1, let. a, P‑LDI) ;
- un disposition contractuelle qui permettent au client de Changement de fournisseur autorise expressément et spécifie les obligations du fournisseur de cloud qui en découlent (par exemple, le transfert des données, applications et actifs numériques existants) ;
- dans certaines circonstances, des conditions fixées par la Commission européenne les normes techniques d’interopérabilité respecter ; et
- mesures appropriées se rencontrent pour divulgation transfrontalière de données, notamment aux autorités étrangèresLes États membres sont tenus d’empêcher la divulgation de données à caractère personnel dans les cas où une telle divulgation serait contraire au droit de l’Union ou au droit d’un État membre.
Conclusion
Dans l’ensemble, les réglementations contenues dans l’E-DSG ne sont ni nécessaires ni pertinentes. De nombreuses dispositions, telles que l’ ”accès aux données factuelles dès la conception”, les obligations d’information, la portabilité des données ou les “demandes d’accès légal”, s’inspirent fortement du RGPD. Mais comme, contrairement aux données à caractère personnel, l’objectif de protection (de toute façon peu clair) de l’ ”autodétermination informationnelle” fait défaut pour les données matérielles, on peut légitimement se demander quelles considérations justifient ces obligations étendues et transsectorielles. La volonté de briser un effet de verrouillage d’origine technique n’est pas nouvelle, mais la portabilité des données n’est guère appropriée pour l’imposer. Sous le RGPD déjà, cette exigence vit dans l’ombre. En outre, les atteintes à la liberté contractuelle doivent être évaluées de manière critique.
Sur tous les points susmentionnés, le projet de règlement devrait de toute façon encore subir des modifications. Il en va de même pour l’introduction de normes techniques d’interopérabilité, au sujet desquelles de nombreuses associations professionnelles ont déjà fait part de leur mécontentement.