Data Act : le rapporteur propose de supprimer l'équivalence fonctionnelle en cas de changement de fournisseur
L’eurodéputé en charge des dispositions de la loi sur les données (Data Act) relatives au cloud souhaite supprimer l’obligation pour les fournisseurs de cloud de garantir un niveau de service équivalent en cas de changement de fournisseur de services cloud.
L’eurodéputé en charge des dispositions de la loi sur les données (Data Act) relatives au cloud souhaite supprimer l’obligation pour les fournisseurs de cloud de garantir un niveau de service équivalent en cas de changement de fournisseur de services cloud («cloud switching»).
Adam Bielan, le rapporteur de la commission du Marché intérieur et de la Protection des consommateurs du Parlement européen sur le règlement de l’UE sur les données, a publié son projet d’avis lundi (10 octobre). Bien que la commission ne soit pas à la tête de l’ensemble du dossier, elle a des compétences exclusives dans le chapitre lié aux services cloud.
« La compétitivité du secteur des services et de l’industrie européenne repose en grande partie sur l’adoption accélérée des services cloud. L’un des principaux obstacles susceptibles d’empêcher l’UE d’atteindre ses objectifs est l’augmentation des frais initiaux que les entreprises doivent payer pour passer aux services cloud, ainsi que l’offre limitée des fournisseurs de services cloud », a écrit M. Bielan dans sa justification initiale.
Loi sur les données : l’eurodéputée principale insiste sur l’exemption des PME dans l’obligation de partage des données
La rapporteure du Parlement européen pour la loi sur les données a proposé plusieurs changements…
6 minutes
Cloud switching
Dans le projet initial, la Commission européenne proposait d’obliger les fournisseurs de services cloud à permettre aux clients de passer chez un concurrent dans un délai de 30 jours, tout en garantissant une « équivalence fonctionnelle », c’est-à-dire le maintien des mêmes fonctionnalités dans le nouvel environnement.
L’eurodéputé polonais estime que cette approche ne tient pas compte du fait que les services cloud peuvent varier considérablement d’un opérateur économique à l’autre. Parallèlement, il considère que le volet de l’équivalence fonctionnelle est impossible à respecter, à moins que le fournisseur d’origine ait accès au fournisseur de destination.
« Même si cela était possible, l’équivalence fonctionnelle perturberait l’équilibre entre ce que l’on peut raisonnablement attendre de deux fournisseurs de services cloud qui participent au processus de changement, qu’il s’agisse de partager un savoir-faire sensible ou de contraindre la responsabilité de l’exécution d’un service concurrent », est-il écrit dans le rapport.
M. Bielan a toutefois souligné la nécessité d’assurer l’interopérabilité sémantique des données, c’est-à-dire que les deux systèmes comprennent les mêmes données de la même manière. Cette portabilité doit être évaluée en comparant les facettes des différents services afin de faciliter le processus de changement de fournisseur.
Afin d’éviter l’effet de verrouillage sur le marché, l’eurodéputé souhaite que les fournisseurs de services cloud fournissent aux clients des stratégies de sortie. Celles-ci comprennent notamment les procédures de changement de fournisseur, les formats de données lisibles par machine, les restrictions techniques, le temps nécessaire et les coûts liés aux transferts, y compris la possibilité de tester le processus de changement de fournisseur.
En outre, M. Bielan a ajouté une série d’exigences pour les fournisseurs de services de destination, qui devront fournir toutes les informations pertinentes, y compris les limitations techniques, et coopérer de bonne foi pour assurer le transfert des données en temps voulu.
Parallèlement, certains services cloud ont été exclus des dispositions relatives au transfert. L’exemption concerne les services personnalisés ou les fournisseurs qui ne fonctionnent qu’à titre d’essai ou de test.
La proposition initiale fixait à 30 jours le délai de préavis pour résilier un contrat. Selon le projet d’avis, l’accord contractuel peut imposer une période de préavis différente. La durée maximale a été portée à six mois, mais le client pourrait décider de la prolonger.
« L’approche de “solution unique” n’est pas envisageable pour les services d’informatique cloud. Si les migrations simples peuvent être terminées en une journée, les projets complexes peuvent durer bien au-delà de quelques mois. Contraindre le fournisseur à achever le processus de changement dans un délai restreint peut avoir des conséquences désastreuses sur les opérations commerciales du client », selon la justification.
En cas de publication d’une nouvelle norme européenne ou d’une spécification technique, les fournisseurs de services cloud auront un an pour s’y conformer.
Le règlement sur les données comportait déjà des dispositions relatives aux organismes certifiés de règlement des différends. L’accès à ce mécanisme de règlement des différends a également été ajouté en cas de conflit entre les clients et les fournisseurs de services cloud au sujet du processus de changement de fournisseur.
Dans l’ensemble du texte, les services de traitement des données ont été remplacés par l’informatique en nuage (« cloud computing ») — une formulation un peu plus précise.
Changements supplémentaires
La commission du Marché intérieur ne dispose de compétences exclusives que sur le chapitre du changement de fournisseur de services cloud, mais elle dispose également de compétences communes sur l’ensemble du dossier.
La proposition initiale empêchait les entreprises technologiques désignées comme « contrôleurs d’accès » en vertu de la loi sur les marchés numériques (Digital Markets Act, DMA) de bénéficier des dispositions relatives au partage des données du règlement sur les données. Cette mesure vise à empêcher les plateformes déjà implantées dans des secteurs essentiels de l’économie de l’internet de consolider davantage leur position sur le marché.
M. Bielan a proposé de supprimer complètement cette exclusion car elle « prive les individus du droit d’utiliser librement leurs données », ce qui est précisément l’objectif du règlement sur les données.
L’une des parties les plus controversées de la proposition est la possibilité pour les organismes du secteur public d’accéder aux données détenues par le secteur privé. L’eurodéputé estime que la Commission et les Etats membres devraient identifier les entités qui peuvent assurer les demandes d’accès et rendre cette liste publique.
Une limite supplémentaire réside dans le fait que les organismes publics ne pourraient faire des demandes d’accès aux données que dans le cadre de leurs activités. Par ailleurs, les entreprises concernées peuvent formuler, dans un délai de cinq jours, des objections aux transferts de données envisagés pour des raisons de confidentialité ou de sécurité.
En ce qui concerne les transferts internationaux de données, le rapporteur pour avis souhaite que la Commission établisse une liste des pays tiers où le transfert de données européennes non personnelles serait illégal en se fondant sur l’avis du Conseil européen de l’innovation dans le domaine des données.
