Data Act : le Conseil de l'UE achève sa deuxième révision du règlement en vue d'une approche générale

La présidence tchèque du Conseil de l’UE a achevé sa deuxième révision complète du règlement sur les données (Data Act) en accordant un plus grand pouvoir discrétionnaire au client au moment du passage d’un service cloud à un autre.

Le règlement sur les données est une législation historique régissant la manière dont les données peuvent être consultées, partagées et transférées. Le nouveau texte de compromis, consulté par EURACTIV, a été diffusé jeudi (3 novembre) et sera discuté lors d’une réunion du groupe « Télécommunications » du Conseil de l’UE le 8 novembre.

La discussion attestera si la présidence tchèque de l’UE parviendra à finaliser la position du Conseil d’ici décembre.

Changement de service cloud

En vertu du nouveau texte, le délai de préavis dont dispose le client pour demander la résiliation du contrat a été porté des 30 jours initiaux à 2 mois désormais. Par ailleurs, le client dispose d’une grande marge de manœuvre pour prolonger la période de transition pour changer de fournisseur de service cloud (« cloud switching»), également fixée à 30 jours initialement, dorénavant jusqu’au moment où « le client le juge plus approprié ».

Il est également précisé que les obligations de fournir une transition effective vers un autre service cloud ne s’appliquaient qu’aux « services, accords contractuels ou pratiques commerciales fournis par le fournisseur initial. »

Dans le cadre de l’accord contractuel, le fournisseur de cloud devrait préciser les catégories de métadonnées spécifiques au fonctionnement interne de son service. Celles-ci seraient alors exemptées du processus de portage afin de garantir la protection des secrets commerciaux.

La présidence tchèque estime que les contrats devraient également faire référence à un registre en ligne actualisé des normes et spécifications techniques de portabilité qui seraient employées dans le processus de portage. Le fournisseur initial devrait supprimer les données du client un mois après la fin du transfert, tout en s’assurant qu’aucune donnée n’a été perdue.

Transferts internationaux de données

La plupart des modifications apportées à la partie relative au transfert international de données visaient à aligner la formulation sur les dispositions similaires du précédent élément constitutif de la stratégie européenne en matière de données, la loi sur la gouvernance des données récemment adoptée.

Ces mesures prévoient que les fournisseurs de services cloud ne peuvent se conformer aux demandes d’accès aux données émises par des tribunaux de pays non-membres de l’UE, que s’il existe un accord de coopération judiciaire ou dans des conditions spécifiques de proportionnalité et de recours juridique.

Dans ce dernier cas, Prague précise que le fournisseur de services cloud qui reçoit la demande peut demander l’avis de l’autorité nationale compétente pour les questions juridiques liées à la coopération internationale. Si la demande du tribunal porte sur la sécurité nationale de l’UE ou d’un État membre, les autorités chargées de la sécurité doivent être consultées.

Cette section du règlement sur les données n’a pas connu de changements substantiels depuis le début des négociations au Conseil de l’UE. Selon les informations d’EURACTIV, elle pourrait faire l’objet de discussions politiques à un stade ultérieur, étant donné son impact potentiel sur la coopération internationale.

Interopérabilité

Le texte de compromis fait désormais explicitement référence aux espaces européens communs de données, un autre élément fondamental de la stratégie de la Commission en matière de données qui fournit un cadre pour le partage ou le traitement conjoint des données liées à un secteur spécifique tel que la santé ou les transports.

Mise en application

Le règlement sur les données fournit une base juridique permettant aux instances du secteur public de demander l’accès à des données détenues par des particuliers dans certaines circonstances. La formulation révisée charge les autorités nationales compétentes de promouvoir les accords volontaires de partage de données entre les acteurs publics et privés.

Contrats intelligents

Un nouveau paragraphe a été ajouté, demandant que les vendeurs utilisant des contrats intelligents pour remplir un accord d’accès aux données doivent effectuer une évaluation de la conformité du contrat intelligent, menée sous la forme d’une autoévaluation basée sur les règles de surveillance du marché de l’UE.