Proposition de règlement du Parlement européen et du Conseil fixant des règles harmonisées pour l'équité de l'accès aux données et de l'utilisation des données
Il a été adopté le 25 novembre 2022 et entrera en vigueur le 27 janvier 2024.[réf. nécessaire]
Selon la Commission européenne, ce règlement va « permettre aux utilisateurs d'appareils connectés d'accéder aux données qu'ils engendrent et qui sont souvent collectées exclusivement par les fabricants, et de partager ces données avec des tiers afin de fournir des services après-vente ou d'autres services innovants fondés sur des données. Les données concernées par cet « altruisme des données » seront celles relatives à la numérisation des actions et événements de l'utilisateur quand les appareils sont actifs ou en veille ».
Pour être partagées avec des entreprises ou des chercheurs dans un « marché européen de la donnée », ces données devront toutefois systématiquement être anonymisées.
Objectifs
Le DA vise à introduire de nouveaux droits pour les utilisateurs de dispositifs de l'Internet des objets (IdO) concernant l'accès, l'utilisation et le partage des données générées par l'utilisation de ces dispositifs.
Des normes européennes (harmonisées) peuvent être rédigées par les organismes européens de normalisation (ESO) à la suite de demandes de normalisation de la Commission européenne pour soutenir l'application de l'exigence selon laquelle « les produits doivent être conçus et fabriqués, et les services associés doivent être fournis, de telle manière » à ce que les données générées par leur utilisation soient, par défaut, facilement sécurisées et, le cas échéant, directement accessibles à l'utilisateur. Par ailleurs, les normes et spécifications techniques européennes au sens de l'article II du règlement (UE) 1025/2012 sur la normalisation européenne peuvent également soutenir l'émission de contrats « types » ou la transparence sur la manière dont les données seront utilisées[2].
Histoire
La Commission européenne devait présenter officiellement le règlement au quatrième trimestre 2021[3],[4], mais la proposition a été officiellement publiée le 23 février 2022[5].
Un projet de loi proposé avait déjà été divulgué le 2 février 2022 et a rapidement rencontré l'opposition de l'industrie[6],[7].
Si elle avait été mise en œuvre sous sa forme proposée, la loi aurait un impact sur les droits en matière de données en vertu de la directive 96/9/CE du Parlement européen et du Conseil du 11 mars 1996 relative à la protection juridique des bases de données (la directive sur les bases de données)[5].
Critiques
Situation déséquilibrée en faveur de l'industrie
Le Data Act (DA) vise à renforcer les droits des utilisateurs de dispositifs IdO en leur donnant un meilleur contrôle sur leurs données. Cependant, l'économiste allemand Wolfgang Kerber[Notes 1], estime que le DA ne sera pas efficace pour atteindre cet objectif. En 2023, Wolfgang Kerber a publié une analyse[8] de l'efficacité de ce mécanisme de régulation des droits des utilisateurs, analyse faite du point de vue du droit et de l'économie.
Selon Wolfgang Kerber, le DA identifie bien le problème du contrôle exclusif des données IdO par les fabricants : les fabricants ont souvent le contrôle des données IdO car ils possèdent le matériel et le logiciel nécessaires à la collecte et au traitement de ces données[8]. Mais les moyens pris par le DA pour le résoudre sont insuffisantes, car le mécanisme des droits des utilisateurs souffre de multiples problèmes qui le rendent faible et peu efficace. Wolfgang Kerber critique le mécanisme des droits des utilisateurs pour les raisons suivantes[8] :
le périmètre des données couvertes par le mécanisme est insuffisant (ex. : Le DA ne s'applique qu'aux données collectées par les dispositifs IdO, mais il existe de nombreuses autres sources de données IdO, telles que les données collectées par les capteurs et les caméras) ;
le manque d'interopérabilité technique rend difficile l'utilisation des données par les utilisateurs (les données IdO sont souvent collectées dans des formats propriétaires incompatibles avec les logiciels des utilisateurs) ;
les coûts de transaction sont élevés (Les utilisateurs souhaitant accéder à leurs données doivent négocier des contrats avec les détenteurs de données. Ces contrats sont souvent complexes et coûteux à négocier) ;
le marché des données est encore mal défini (Il n'existe pas de marché unique pour les données IdO, ce qui rend difficile pour les utilisateurs de trouver des acheteurs pour leurs données) ;
Wolfgang Kerber estime que l'option permettant aux utilisateurs de mieux contrôler l'utilisation des données IdO, qui repose sur l'exigence que les détenteurs de données ne puissent utiliser les données IdO que sur la base d'un contrat avec les utilisateurs, ne fonctionnera pas, car il existe selon lui de graves défaillances du marché dans les situations B2C, faisant que les détenteurs de données auront plus de pouvoir que les utilisateurs. Wolfgang Kerber plaide pour un rééquilibrage en faveur d'un partage et d'une utilisation plus facile et plus importante des données, au profit de plus d'innovation dans l'économie des données, faute de quoi ce règlement échouera à remplir ces 3 objectifs : il ne renforcera pas le pouvoir des utilisateurs de dispositifs IdO, il ne libérera pas de grandes quantités de données IdO pour l'innovation et il ne contribuera pas à un partage équitable de la valeur des données IdO générées.
Manque d'anticipation des impacts de l'IA générative
Le Data Act ayant été construit avant la grande émergence de l'intelligence artificielle générative en 2022/2023, il ne comprend pas de dispositions spécifiques aux usages possibles de données issues de dispositifs de l'Internet des objets (IdO) par de telles IA, alors qu'elles auront a priori un accès croissant à ces données et qu'elles peuvent en faire un usage non transparent. Le texte du règlement ne mentionne que vaguement l'IA : « Conformément à la stratégie industrielle COM/2021/350 final[9], la proposition porte sur des technologies hautement stratégiques telles que l'informatique en nuage et les systèmes d'intelligence artificielle : des domaines dont l'UE n'a pas encore exploité tout le potentiel, à l'aube de la prochaine vague de données industrielles », sans même évoquer l'IA générative et envisage encore moins une potentielle IA générale future.
Le Parlement européen a toutefois ensuite ajouté des obligations spécifiques visant les modèles d'IA générative, comme ChatGPT ou Bard, dans sa version de compromis de l'AI Act (un autre texte législatif, distinct relatif à la gouvernance de l'IA et des données générées par l'IA)[10],[11]. Ces obligations portent sur la transparence, la divulgation, et la modération des données et contenus générés par l'IA.
En 2023, un grand nombre d'experts de l'IA on plaidé pour un moratoire, un cadre juridique adapté aux IA et pour des obligations de transparence et de sécurité pour les entreprises qui utilisent l'IA générative, leur imposant de divulguer aux utilisateurs la manière dont elles utilisent et protègent leurs données et l'IA générative, ainsi que les risques potentiels associés à cette technologie ; et la responsabilité des entreprises et groupes d'intérêt utilisant l'IA générative devrait être engagée en cas d'usages malveillants ou irresponsables de l'IA.
↑ a et b(en) Commission européenne, Data Act: Proposal for a Regulation on harmonised rules on fair access to and use of data (text with EEA significance), Bruxelles, Commission européenne, (lire en ligne [PDF]).
↑(en) Luca Bertuzzi, « LEAK: Data Act's proposed rules for data sharing, cloud switching, interoperability », Euractiv, (lire en ligne [archive du ], consulté le ).
↑(en) Luca Bertuzzi, « Industry readies to fight the Commission's Data Act proposal », Euractiv, (lire en ligne [archive du ], consulté le ).