Le 9 novembre 2023, le Parlement européen a adopté, à une majorité de 481 voix pour, 31 voix contre et 71 abstentions, le texte final de la loi sur les données. Comme expliqué dans notre précédent blog, le Data Act vise à « garantir l’équité dans l’environnement numérique, stimuler un marché des données compétitif, ouvrir des opportunités pour l’innovation basée sur les données et rendre les données plus accessibles à tous » et a été initialement proposé par la Commission européenne le 23 février 2022.

Les éléments clés de la loi sur les données comprennent :

• Mesures renforcées de portabilité et de partage des données permettant aux utilisateurs d’appareils connectés d’accéder aux données générées par les appareils connectés et de les partager avec des tiers, permettant ainsi des services de rechange moins chers et d’autres services innovants basés sur les données (tels que la maintenance prédictive).
• Règles régissant le traitement des données partagées dans le cadre de la loi sur les données par des tiers et la relation entre le tiers recevant les données et le titulaire initial des données.
• Mesures visant à rééquilibrer le pouvoir de négociation des petites et moyennes entreprises en empêchant l’abus des déséquilibres contractuels dans les contrats de partage de données. Des contrats modèles seront également élaborés par la Commission européenne pour aider les entreprises à rédiger et négocier des contrats équitables de partage de données.
• Accorder aux organismes du secteur public le pouvoir d’accéder et d’utiliser les données détenues par des entreprises privées dans des circonstances d’intérêt public élevé, telles que les catastrophes naturelles, sous réserve de conditions spécifiques.
• Des règles d’interopérabilité des données et du cloud qui permettent aux utilisateurs finaux de basculer efficacement entre les fournisseurs de services cloud et de pointe, et établissent des garanties contre le transfert et l’accès illégaux de données par des gouvernements tiers.
• Une précision selon laquelle les bases de données contenant des données provenant d’appareils et d’objets de l’Internet des objets (IoT) ne devraient pas être soumises à une protection juridique distincte, permettant ainsi aux données générées par les appareils IoT d’être consultées et utilisées plus facilement par les utilisateurs finaux.
• Restrictions sur le partage de données avec des entités considérées comme des contrôleurs d’accès en vertu de la loi sur les marchés numériques.

Les États membres de l’UE sont tenus de désigner une ou plusieurs autorité(s) de contrôle compétente(s) pour faire appliquer la loi sur les données. Par ailleurs, les États membres de l’UE sont responsables de la définition des règles relatives aux sanctions applicables aux violations de la loi sur les données. Cela dit, ces sanctions devraient être efficaces, proportionnées et dissuasives. En outre, en vertu de l’article 40, paragraphe 4, de la loi sur les données, les autorités de contrôle de la protection des données de l’UE seront chargées de contrôler l’application des chapitres II, III et V de la loi sur les données, dans la mesure où la protection des données à caractère personnel est concernée et, dans ce cadre, Dans ce cas, les règles en matière de sanctions du RGPD s’appliquent.

La loi sur les données entrera en vigueur après son adoption formelle par le Conseil, ce qui devrait avoir lieu dans un avenir proche. L’essentiel de sa commission deviendra applicable 20 mois après son entrée en vigueur.

Lisez la loi sur les données (telle qu’adoptée par le Parlement européen) et le communiqué de presse.