Véhicules connectes et règlementations européennes de protection des données

Dans le cadre de sa démarche d’accompagnement sectoriel, la CNIL a récemment lancé un « club conformité » dédié aux acteurs du véhicule connecté et de la mobilité.

Le fort développement des véhicules intelligents entraîne en effet de nombreuses implications juridiques, car ces véhicules et les services connectés qui les accompagnent impliquent de nombreuses collectes de données (via des capteurs, GPS, radars, gyromètres, caméras et applications) et leur traitement par différents acteurs du marché (constructeurs, éditeurs de logiciels, distributeurs, mainteneurs, assureurs…).

Comme le rappelle la CNIL, ces données peuvent être utiles en termes d’innovation, de maintenance et de sécurité, mais révèlent également des aspects liés à la vie privée de leurs conducteurs ou passagers (localisation, déplacements, comportement).

Le véhicule connecté est au confluent de nombreuses réglementations (loi d’orientation des mobilités 2019-1428 du 26 décembre 2019, loi climat et résilience 2021-1104 du 22 août 2021, futur Data Act sur les données générées) mais doivent évidemment respecter le RGPD.

Autant dire que les fabricants et exploitants de véhicules connectés sont confrontés à une forêt réglementaire, que la CNIL souhaite les aider à défricher.

Ce « club conformité » est un espace de dialogue avec les professionnels, qui s’inscrit dans la foulée du « pack conformité » publié par la CNIL en 2017 et des Lignes Directrices 01/2020 du Comité Européen de Protection des Données du 9 mars 2021 sur les traitements de données dans le contexte des véhicules connectés.

Le « pack conformité » de la CNIL est un référentiel sectoriel basé sur trois scénarios de traitements de données, selon que les données

(i) restent stockées dans le véhicule sans retransmission (ex : conseils d’éco-conduite affichés au conducteur),

(ii) sont transmises hors du véhicule pour fournir des services complémentaires (ex : assurance facturée au kilomètre, études d’accidentologie, exploitation commerciale des données, ecall en cas d’urgence), ou

(iii) sont transmises hors du véhicule pour déclencher en retour des actions automatiques dudit véhicule (ex : aide à la navigation par géolocalisation, calcul d’un nouvel itinéraire en cas d’obstacle sur le parcours, assistance à la conduite, maintenance à distance, sécurité routière).

Dans chacun des scénarios, la CNIL rappelait que toute donnée liée à la personne via notamment l’immatriculation ou le numéro de série sont soumises au RGPD, et présente les exigences associées notamment en termes :

  • de finalités (le traitement est-il lié au démarrage du véhicule par reconnaissance biométrique ? A la sécurité des personnes, à la fluidification du trafic, à l’amélioration de l’expérience de conduite, à l’assistance automatisée, ou encore à l’optimisation de la police d’assurance ?),
  • de base légale (le traitement est-il soumis au consentement de la personne ou dépend-il de l’intérêt légitime du responsable de traitement ?),
  • d’identification des destinataires des données (il n’y en a pas dans le scénario 1, mais quels sont-ils dans les scénarios 2 et 3 : le seul fournisseur de services ou ses partenaires commerciaux, notamment pour optimiser le véhicule, pour des travaux d’accidentologie, pour proposer des services connexes, pour lutter contre le vol de voitures…),
  • de durées de conservation (selon les finalités mais toujours en respectant l’exigence de minimisation),
  • d’information circonstanciée des personnes (notamment en cas de profilage du comportement routier), ou encore
  • d’exercice de leurs droits sur leurs données personnelles (dont la portabilité des données fournies par la personne ou des données directement issues de son comportement, sans retraitement de déduction tel qu’un score d’éco-conduite).

Le pack conformité aidait à définir qui est le responsable de traitement (ex : le fournisseur de services qui traite les données issues du véhicule pour adresser au conducteur des messages d’info-trafic, d’éco-conduite ou des alertes sur le fonctionnement du véhicule).

Par opposition, les sous-traitants amenés à traiter les données ne pourront le faire que dans le respect des instructions du responsable de traitement et pour son compte.

Le pack conformité posait également l’exigence d’« autodétermination informationnelle », la personne concernée devant maîtriser les paramétrages par défaut de protection de ses données (par activation ou désactivation des traitements fondés sur son consentement tels que la prospection marketing fondée sur sa géolocalisation par exemple).

Le pack conformité rappelait enfin que la sécurité est un élément essentiel dans le déploiement de véhicules connectés et implique, sinon l’anonymisation, en tous cas des mesures de chiffrement des canaux de transfert des données extraites du véhicule, des mesures de gestion des accès et authentification, ou encore un fort cloisonnement des données selon les fonctionnalités qui les utilisent (fonctions vitales du véhicule, fonctions de communication, données susceptibles de révéler des infractions, etc.).

Ce pack conformité, bien qu’antérieur au RGPD, demeure pertinent dans beaucoup de domaines, en particulier pour répertorier les finalités des traitements qu’il est possible de mettre en place sur les données collectées via l’utilisation d’un véhicule connecté. Ce sont cependant, désormais, les Lignes Directrices du CEPD du 9 mars 2021 qui constituent la doctrine actuelle des autorités de protection.

Ces Lignes Directrices ont adopté une approche par le risque, et ont porté l’accent sur cinq grandes catégories de risques que les voitures connectées doivent border :

  • la collecte excessive des données personnelles ainsi que leurs réutilisations secondaires,
  • l’asymétrie d’information entre le responsable de traitement et la personne concernée par les données,
  • la difficulté de recueillir un consentement éclairé de la part de celle-ci, et bien entendu,
  • la sécurité des données personnelles traitées.

Les Lignes Directrices du CEPD comportent des recommandations générales liées aux finalités en récapitulant les principales (gestion de la mobilité en fonction notamment du trajet des conditions de conduite), gestion du véhicule lui-même (rappels d’entretien, modalités de conduite, assurances personnalisées), sécurité routière (détection des dangers externes et prévention des collisions, détection des dérives, ecall en cas d’urgence), divertissement (plutôt tournée vers les passagers bien entendu…) ou aide au conducteur (automatisation partielle ou totale du pilotage).

Elles comportent ensuite une liste de préconisations détaillées, liées à la gestion des familles de risques susmentionnées, en portant notamment l’accent sur la qualité de l’information et du consentement requis de l’utilisateur, le principe de minimisation et de proportionnalité des données, ou encore le privacy by design, qui milite pour des traitements localisés et limités le plus possible au véhicule lui-même.

Ces Lignes Directrices comportent en outre des cas d’usage instructifs (traitements de données pour les assurances basées sur l’utilisation du véhicule, pour le service ecall en cas d’accident, pour les études d’accidentologie, ou pour la lutte contre les vols de voiture), en insistant sur les destinataires possibles des données et les bases légales devant s’appliquer à leurs traitements.

Les responsables de traitement (au premier rang desquels les constructeurs et les fournisseurs des services connectés accompagnant ces véhicules) devront donc se plier à l’ensemble des exigences du RGPD, en s’appuyant sur ces Lignes Directrices pour assurer la conformité de leurs traitements et la sécurité des données ainsi collectées.

Au sujet de la sécurité, l’ANSSI a eu l’occasion de rappeler de quelle façon les véhicules pouvaient être piratés voire dérobés par simple détournement des données collectées et a émis des préconisations pour la sécurisation des objets connectés, suite à des exemples de prise en main à distance qui entraînent évidement des risques non seulement pour les données, mais pour l’intégrité physique des personnes elles-mêmes.

Ces règles n’ont pas de valeur normative mais sont bien entendu fortement conseillées pour les fabricants de véhicules connectés.

La CNIL rappelle par ailleurs que le RGPD ne s’applique pas aux données réellement anonymes (données techniques définitivement non rattachables à une personne physique), le fournisseur pouvant alors librement les réexploiter.

Mais attention : ces données seront prochainement soumises aux exigences du Data Act, dont le projet est en cours de discussion ai niveau européen.

Cette réglementation qui vise les « données générées » par les objets connectés et les services liés (qu’elles soient d’ailleurs personnelles ou non identifiantes) prévoit en effet que

(i) le fournisseur doit préciser dans son contrat avec le client les réutilisations qu’il fera lui-même de ces données industrielles (amélioration du service, sécurité), et

(ii) en tant que détenteur de ces données, il doit les mettre à disposition de l’utilisateur ou des tiers (mainteneurs, réparateurs, etc.) dans le cadre d’une nouvelle portabilité censée favoriser l’innovation au sein d’un vaste marché européen de la donnée.

Le Data Act affirme en effet deux nouveaux droits :

(i) un droit d’accès pour l’utilisateur aux données générées par l’utilisation d’un objet connecté, pour renforcer son « expérience utilisateur » ainsi que sa liberté de recourir à des tiers pour la maintenance du produit qu’il a acheté ou loué, et

(ii) un droit pour l’utilisateur d’exiger la portabilité des données générées par son utilisation de l’objet connecté vers un tiers destinataire, qui pourra les réutiliser à son tour pour fournir son propre service à l’utilisateur.

Le Data Act entraine corrélativement une obligation de principe pour les détenteurs de données : « Les fabricants et les concepteurs doivent concevoir les produits de telle manière que les données soient facilement accessibles par défaut, et ils devront faire preuve de transparence quant aux données qui seront accessibles et à la manière d’y accéder ».

La réflexion sur l’accès des utilisateurs aux données générées doit donc désormais intervenir dès la conception des véhicules connectés, selon une notion d’« accessibility by design » comparable au « privacy by design » du RGPD.

Les fournisseurs de véhicules connectés devront donc, outre le strict respect du RGPD, assurer leur conformité au Data Act et à cet égard, renforcer encore l’information due à leurs clients, garantir la portabilité technique des données générées par l’utilisation de leurs véhicules, et mettre ces données à disposition des tiers dans le cadre de contrats à nouer avec ces derniers.

L’innovation que constituent indéniablement les véhicules connectés, et l’ensemble de services de sécurité comme de confort apportés aux conducteurs et leurs passages, implique donc pour les fabricants et éditeurs de services un travail considérable de cartographie des données et de mise en conformité avec les différentes réglementations applicables.

RGPD & transferts transatlantiques : l’avis du CEPD encouragera-t-il la Commission européenne à rendre la décision d’adéquation du Data Privacy Framework ?

La problématique de la légalité des flux de données à caractère personnel vers les Etats Unis a connu de nombreux épisodes, et nous n’en sommes certainement pas encore parvenus à la conclusion de cette série à rebondissements qui, si elle ne comporte ni dragons ni châteaux forts, tient néanmoins en haleine les praticiens, et continue surtout d’inquiéter les entreprises.

Cette saga avait commencé avec l’arrêt Schrems I (décision de la CJUE du 6 octobre 2015 invalidant l’adéquation du programme américain Safe Harbor) et s’est poursuivie plus récemment avec l’arrêt Schrems II (décision de la CJUE du 16 juillet 2020 invalidant l’adéquation de son remplaçant le Privacy Shield) sur la conformité des transferts transatlantiques à la législation européenne.

Depuis cette dernière décision, les transferts de données vers les Etats Unis sont potentiellement illicites : tous ceux qui ne reposaient que sur l’adhésion du prestataire au Privacy Shield sont interdits, et les autres, reposant sur des garanties certes prévues par le RGPD telles que les Clauses Contractuelles Types de la Commission Européenne (« CCT ») et les Règles Contraignantes d’Entreprise (« BCR »), sont fragilisés, car le Comité Européen de la Protection des Données (« CEPD ») a indiqué que ces garanties peuvent ne pas suffire si le droit du pays d’importation des données contredit les garanties essentielles européennes.

Plusieurs décisions des CNIL européennes ont enfoncé le clou, notamment au sujet de la technologie Google Analytics dont l’utilisation déclenche des flux transfrontaliers de données d’européens vers les USA (cf. notamment décisions de la CNIL française et de son homologue autrichienne).

Pour assurer un cadre légal a minima des transferts, les entreprises s’efforcent donc de suivre les recommandations du CEPD de 2020 et 2021 sur les respect des garanties essentielles européennes et sur les mesures additionnelles à appliquer.

En substance, le CEPD demande aux entreprises européennes de vérifier si le droit local permet de répondre aux garanties essentielles européennes, et à défaut, d’obtenir de l’entreprise américaine qu’elle déploie des « mesures additionnelles » efficaces.

Or, les entreprises ne sont pas forcément en mesure d’obtenir de telles garanties au regard de leur droit national, et les prestataires étrangers ne sont pas nécessairement désireux de réellement s’y conformer, comme les décisions Google l’ont montré.

Dès lors, la conclusion d’un accord interétatique se révèle être plus que nécessaire afin de rétablir un socle légal fiable pour les flux de données transatlantiques et la confiance dans les fournisseurs.

Les Etats-Unis et l’Union européenne ont entrepris des discussions visant à la reconnaissance d’un nouveau texte américain (le « Data Privacy Framework »), dont une première version a été signée par le Président américain en octobre 2022 sous la forme d’un « executive order » du 7 octobre 2022 permettant un rapprochement entre le droit américain et les exigences du CEPD.

L’executive order impose aux autorités américaines de renseignements un certain nombre d’obligations afin d’assurer le respect de la vie privée et des libertés individuelles.

Entre autres dispositions, les agences de renseignements américaines ne peuvent avoir accès aux données personnelles en provenance de l’UE qu’en justifiant de la proportionnalité de la mesure, des intérêts légitimes des activités et sous réserve que ces activités soient contrôlés par un organisme juridique (l’Officier de Protection des Libertés Civiles puis la Data Protection Review Court en appel).

La Commission européenne doit désormais valider ce nouveau texte en rendant une décision d’adéquation attendue ce mois-ci, en mars 2023.

En attendant la décision de la Commission, le CEPD et l’association NOYB de M. Schrems ont d’ores et déjà rendu leurs avis concernant ce projet de Data Privacy Framework qui, pour des raisons parfois proches, leur semble peu efficace et dont l’adéquation éventuellement décidée par la Commission risque de se heurter à une nouvelle invalidation de la CJUE en cas de litige (inévitable compte tenu de l’activité de NOYB), à l’instar de ses prédécesseurs le Safe Harbor et le Privacy Shield.

Selon NOYB en effet, cette nouvelle réglementation n’empêchera pas les services de renseignements américains de collecter massivement les données européennes.

A ses yeux, les exigences de proportionnalité et de nécessité des collectes restent vaguent et sont sujettes à de larges interprétations, qui sont différentes d’un côté et de l’autre de l’Atlantique. Ce qui affaiblit indéniablement la portée de l’executive order de M. Biden.

NOYB relève également que la Data Protection Review Court ne serait pas une juridiction « réelle » au sens de la Constitution des Etats Unis ; il s’agirait plutôt d’un organe au sein du gouvernement, dont l’indépendance pourrait encore être discutée.

Bien que ce dispositif soit une amélioration par rapport à l’« Ombudsperson » (médiateur) du Privacy Shield, cette nouvelle « cour » ne satisferait pas aux exigences européennes.

NOYB souligne également qu’un executive order est une directive interne du Président au sein du gouvernement fédéral, mais ne constitue pas une véritable loi…

L’association regrette encore que la Commission n’ait pas exigé plus simplement la conformité des entreprises américaines au RGPD.

Il est vrai cependant que la Cour de Justice de l’Union européenne se contente de souligner que les données doivent être protégées de façon « essentially equivalent ».

De son côté, le CEPD, organe de l’Union européenne regroupant les autorités de protection des données au niveau européen (à ne pas confondre avec le Contrôleur européen de la protection des données), s’est positionné à deux reprises sur la question des transferts internationaux.

Dans un premier temps, le CEPD avait adopté le 18 novembre 2021 des lignes directrices sur la notion de transfert.

La définition de transfert donnée internationale par le RGPD manque effectivement de précision : « transfert de données à caractère personnel vers un pays tiers ou une organisation internationale ».

Le CEPD précise qu’un transfert peut être qualifié comme tel lorsque trois critères cumulatifs sont réunis :

1) l’exportateur de données personnelles d’européens (qu’il soit un responsable du traitement ou un sous-traitant) est soumis au RGPD pour le traitement considéré;

2) l’exportateur de données transmet ou met les données à caractère personnel à la disposition de l’importateur de données (une autre responsable du traitement, un responsable conjoint du traitement ou un sous-traitant) : le transfert s’opère entre deux parties distinctes – cependant, un traitement de donnée peut très bien avoir lieu sans qu’il y ait transfert effectif entre deux responsable de traitement.

3) l’importateur de données se trouve dans un pays tiers ou est une organisation internationale.

Ce rappel de la CEPD servait à clarifier l’interaction entre champ d’application territorial du RGPD et les dispositions relatives aux transferts internationaux de son chapitre V.

Selon la présidente du CEPD, ces lignes directrices fournissaient une interprétation cohérente de la notion de “transferts internationaux” et, lorsqu’un importateur de données est soumis au RGPD, les obligations résultant du chapitre V du RGPD s’appliquent tant au transfert de l’UE vers l’importateur qu’à tout transfert ultérieur effectué par l’importateur.

Selon le chapitre V du RGPD, ce transfert transfrontalier n’est possible que s’il répond à certaines exigences : autorisation par une décision d’adéquation de la Commission européenne (art. 45) ou mise en place des garanties appropriées (art. 46 : règles d’entreprises contraignantes (BCR), clauses contractuelles types (CCT), codes de conduite, mécanismes de certification, etc.).

Suite à cette clarification, il convenait d’en identifier les conséquences et de rappeler les droits et obligations qu’un tel transfert doit respecter, notamment en l’espèce de la part des organisations américaines.

Dans le second temps, le CEPD a donc rendu le 28 février 2023 son avis sur le projet de décision d’adéquation de la Commission sur cet executive order, qui lui avait été soumis le 13 décembre 2022.

Le CEPD y reconnait un progrès de la part du gouvernement américain sur la protection des données transférées aux Etats unis, dont l’introduction des notions de nécessité et de proportionnalité s’imposant aux collectes de données et la reconnaissance des droits des citoyens européens sur leurs données.

Néanmoins, certains points suscitent des inquiétudes persistantes.

Le Data Protection Framework prévoit ainsi un certain nombre d’exemptions concernant la protection des personnes concernées.

Le CEPD souhaite que ces exemptions soient mieux encadrées et que la Commission Européenne apporte davantage de précision sur le champ d’application de ces exemptions.

En l’occurrence, en ce qui concerne le droit d’accès de la personne concernée à ses données telles qu’obtenues par les autorités américaines, les détails relatifs à l’obligation de répondre à ses demandes ne sont que décrits dans une note de bas de page, ce qui paraît anecdotique alors que le sujet est au cœur de la protection exigée en Europe ; le CEPD regrette que ces détails ne soient pas inclus dans le corps du texte principal.

Il semble également que le texte ne prévoit l’exercice de ce droit d’accès que lorsque l’organisation « stocke » les données : or, le droit d’accès doit être rendu possible dès lors que les données sont traitées.

On trouve ici l’illustration de ce que des interprétations divergentes des termes peuvent provoquer, avec à la clé une acception plus restrictive du droit d’accès aux USA qu’au sein de l’UE.

Le CEPD note aussi que dans la liste des exemptions au droit d’accès, certaines sont clairement en faveur des intérêts des organisations au dépit des droits et intérêts des individus, selon un équilibre qui n’est pas celui retenu en Europe.

Par exemple, l’exception au droit d’accès visant les informations « accessibles au public » suscite également une certaine inquiétude.

Le CEPD considère que, conformément à la législation européenne, les personnes concernées doivent toujours avoir le droit d’accéder à leurs données, que celles-ci aient été publiées ou non.

Le Data Privacy Framework américain évoque également un droit d’opposition (dit « opt-out ») à la divulgation d’informations personnelles à un tiers ou à l’utilisation de ces données dans un but différent de celui pour lequel elles ont été collectées.

Mais l’exercice de ce droit n’est pas suffisamment détaillé.

Le CEPD regrette ici qu’un droit général d’opposition pour des motifs légitimes impérieux tenant à la situation particulière de la personne concernée ne soit pas expressément prévu dans le Data Privacy Framework.

Et surtout, ce droit d’opposition devrait être garanti à tout moment, et non pas limité à l’utilisation des données à des fins de marketing direct.

Le CEPD remarque également que le droit américain ne prévoie pas d’autorisation préalable par une autorité indépendante, ni un contrôle effectif par une juridiction indépendante pour l’autorisation d’une collecte indifférenciée de données (surveillance de masse), en dépit des précautions ajoutées par l’executive order.

Le CEPD souhaite en conséquence que la Commission précise l’étendue des voies de recours prévue par le Data Privacy Framework américain, et notamment si la personne concernée pourra exercer de manière effective son droit d’accès, de rectification ou d’effacement de ses données tels que prévus par le RGPD.

On peut cependant s’interroger sur ce que vaudront les précisions de la Commission, fondées sur sa propre interprétation du texte américain, si les juges américains décident d’adopter une lecture différente de l’executive order

Enfin, le CEDP regrette que le Data Privacy Framework ne se prononce pas sur les questions des décisions prises par des algorithmes et du profilage dont on sait que la prolifération donne une acuité particulière aux exigences de protection renforcée des données personnelles.

La question désormais est de savoir quelle position de la Commission Européenne adoptera sur le Data Privacy Framework à la lumière des critiques du CEPD.

Il est à craindre que l’hypocrisie qui caractérise cette saga réglementaire se poursuive.

On en veut pour preuve que les USA estiment d’une part que leur nouvel executive order règle le problème mis à jour par la CJUE dans sa décision du 16 juillet 2020, et dans le même temps, les USA s’indignent d’autre part d’apprendre que le FBI a pu littéralement acheter des données personnelles d’américains (géolocalisation de téléphones) dans le cadre de ses travaux d’investigation, en contournant les exigences réglementaires locales.

Si les agences américaines piétinent leur propre droit pour accéder aux données des citoyens américains, comment l’Europe peut-elle sérieusement considérer que le Data Privacy Framework constituera une garantie suffisante pour protéger les données des citoyens européens ?

L’avis du CEPD sur la décision d’adéquation « Opinion of the Board » du 28 février 2023

Le projet de Data Act : innovations et questions posées par le « RGPD des données industrielles »

Le projet de Data Act est en cours de discussion au Parlement Européen, et est annoncé pour le courant de l’année 2023. Il a pu être qualifié de « RGPD des données industrielles » dans la mesure où il a été élaboré par le législateur européen aux fins d’assurer une meilleure répartition de la valeur issue de l’utilisation des données personnelles et non personnelles entre les acteurs de l’économie de la donnée, spécifiquement liées aux objets connectés.

L’idée est, entre autres, de faire pièce aux GAFAM en consolidant une vaste économie européenne de la donnée. Le législateur européen souligne que la multiplication rapide des produits connectés (« internet des objets ») a fait augmenter le volume de données et leur valeur potentielle pour les consommateurs, les entreprises et la société en général. De nouveaux modèles économiques ont émergé. Les données sont des biens « non rivaux » et en conséquence, un même ensemble de données est susceptible d’être utilisé et réutilisé à diverses fins de façon illimitée, sans perdre en qualité ni en quantité.

Leur circulation est néanmoins entravée par les pratiques de réservation des entreprises détentrices de données, par les coûts liés aux interfaçages de systèmes et aux échanges de données, par la dispersion des informations, par l’absence de norme impérative d’interopérabilité, et par des déséquilibres contractuels au profit notamment des champions étrangers du numérique qui se sont investis bien plus tôt dans la constitution de gigantesques bases de données à travers le monde. Le législateur européen en a déduit la nécessité d’ériger juridiquement un droit d’accès et de partage des données générées par les objets connectés et les services liés, de manière harmonisée à l’échelle du continent.

Sommaire

Contexte et objectifs du Data Act

Champ d’application du Data Act

Nouveaux droits des utilisateurs, nouvelles obligations des entreprises

Adhérences avec le RGPD

Montée en puissance de l’exigence d’interopérabilité

La problématique du secret d’affaires

L’encadrement des flux transfrontaliers

Mise à disposition des données au bénéfice des autorités publiques

Perspectives

Contexte et objectifs du Data Act

Le Data Act fera suite au Data Governance Act (« DGA ») adopté en mai 2022, qui avait pour but d’encadrer la réutilisation de certaines données du secteur public en créant notamment de nouvelles certifications et des services d’intermédiaires de données. Le DGA évoquait comment le secteur public peut partager ses données ; le Data Act indique désormais comment les entreprises doivent permettre de créer de la valeur ajoutée à partir de leurs données.

Schématiquement, le Data Act a pour objectifs de :

  • Faciliter le partage des données générées entre entreprises (B2B) et avec le consommateur (B2C), en fixant notamment une obligation de rendre accessibles les données générées par l’utilisation des objets connectés et services connexes, en contrepartie d’une compensation juste et équitable ;
  • Permettre l’utilisation de ces données par les entreprises européennes (à l’exclusion des « contrôleurs d’accès » définis par le DMA, c’est-à-dire les très grandes plateformes dont celles des GAFAM) et, sous réserve de justifier d’un besoin exceptionnel, par les organismes publics des États-membres et les institutions, agences ou organes de l’Union ;
  • Faciliter le changement de fournisseur de services de traitement de données (notion de « cloud switching ») par l’encadrement des relations contractuelles entre les fournisseurs de services et leurs clients, et par la suppression progressive des frais liés au changement de service cloud pour le client ;
  • Entériner une obligation de portabilité des données à la charge des entreprises qui les génèrent via leurs produits connectés, et en conséquence, renforcer l’exigence générale et sectorielle d’interopérabilité entre les services de traitement de données ;
  • Mettre en place de nouvelles garanties contre les accès illicites de gouvernements de pays tiers aux données non-personnelles contenues dans le cloud, dans la foulée des dernières évolutions qui ont marqué l’application du RGPD suite à la décision Schrems II de la CJUE du 16 juillet 2020.

L’ensemble de ces objectifs s’inscrit dans la stratégie de constitution d’un vaste espace européen d’exploitation et de valorisation des données, qui doit favoriser le développement de technologies au service des personnes et le déploiement d’une économie numérique compétitive face aux titans américains et chinois.

En tant qu’élément de la stratégie numérique européenne, le Data Act s’inscrit dans un environnement réglementaire très prolifique, à la suite du Data Governance Act, et aux côtés du Digital Markets Act (DMA, qui encadre les acteurs numériques pour préserver un marché concurrentiel et restreindre les oligopoles des GAFAM), du Digital Services Act (DSA, qui encadre les contenus échangés sur les réseaux sociaux afin de protéger les citoyens, notamment les plus jeunes, contre les contenus haineux et les fausses informations), du futur règlement eprivacy (qui doit venir réformer la Directive de 2002 applicable à la protection de la vie privée et des données de communications électroniques) et le futur Règlement IA (qui doit régir la mise sur le marché et l’utilisation des systèmes d’intelligence artificielle dans l’UE). C’est donc un environnement réglementaire particulièrement complexe que les entreprises françaises et européennes vont devoir appréhender dans les années qui viennent, et dont le RGPD ne constituait que le premier étage.

L’introduction du Data Act rappelle qu’il s’inscrit dans une volonté de redonner aux utilisateurs le contrôle sur leurs données : pas seulement les données personnelles liées aux personnes physiques, mais également les données techniques liées à leur utilisation des objets connectés et services liés qui prolifèrent désormais.

Retour au sommaire

Champ d’application du Data Act

Concrètement, le Data Act crée des obligations à la charge des entreprises qui génèrent des données « industrielles », au bénéfice de leurs clients utilisateurs (personnes physiques ou morales), et au bénéfice d’entreprises tierces tels que fournisseurs de services à valeur ajoutée ou accessoires aux produits connectés, prestataires de SAV, tiers mainteneurs… au sein de l’Union Européenne.

Il est important de bien comprendre les concepts clés du Data Act, dont les notions de « détenteurs de données » et « d’utilisateurs ».

On note à cet égard que la définition du détenteur de données (entendu à l’article 2 du Data Act comme une « une personne morale ou une personne physique qui, conformément au présent règlement, aux dispositions législatives applicables de l’Union ou à la législation nationale mettant en œuvre le droit de l’Union, a le droit ou l’obligation ou, dans le cas de données à caractère non personnel et par le contrôle de la conception du produit et des services liés, a la possibilité, de rendre disponibles certaines données à caractère personnel ») est circulaire puisqu’elle présente le détenteur de données comme une entité qui… a l’obligation de partager des données en vertu du Data Act lui-même.

Les explications des considérants du Data Act permettent de comprendre qu’il s’agit là des fabricants de produits connectés et les éditeurs des services liés aux produits connectés, mais il n’en reste pas moins que la définition juridique est loin d’avoir la clarté de celles utilisées dans le RGPD.

La notion d’« utilisateur » est plus claire, s’agissant d’une « personne physique ou morale qui possède ou loue un produit ou reçoit un service ». Enfin, la notion de « destinataire de données » est très opérationnelle, entendue comme « une personne physique ou morale, autre que l’utilisateur d’un produit ou d’un service lié, agissant à des fins qui sont liées à son activité commerciale, industrielle, artisanale ou libérale, à la disposition de laquelle le détenteur de données met des données, y compris un tiers lorsque l’utilisateur a adressé une demande au détenteur de données ou conformément à une obligation légale découlant du droit de l’Union ou de la législation nationale mettant en œuvre le droit de l’Union », c’est-à-dire une entité qui reçoit les données générées transmises par le détenteur initial pour fournir ses propres services.

Dans les faits, on brise ici le monopole des fabricants d’objets connectés sur les bases de données qu’ils constituent via leurs produits, afin de forcer la circulation plus fluide des données, sous des formats réutilisables, pour un enrichissement collectif au sein des marchés de services : les détenteurs des données ne pourront plus jouir d’un avantage compétitif interdisant l’accès à leurs marchés, et les fournisseurs de services accessoires (installateurs, réparateurs, mainteneurs) pourront améliorer leurs offres de service et l’efficacité de leurs interventions. En un mot, il s’agit de stimuler la concurrence et la complémentarité des services au sein de l’Union Européenne.

Plus précisément, le Data Act s’applique non pas spécifiquement aux données personnelles, mais plus généralement aux « données générées » qui sont produites par les « objets connectés » et les « services liés ». On entend par donnée générée « toute représentation numérique d’actes, de faits ou d’informations et toute compilation de ces actes, faits ou informations, y compris sous forme d’enregistrement sonore, visuel ou audiovisuel » à l’exclusion des données « déduites » ou construites par le truchement de logiciels d’analyse (scoring, profilage).

Ces données représentent ici la « numérisation des actions de l’utilisateur et des évènements relatifs à son utilisation ». Elles incluent les données enregistrées intentionnellement par l’utilisateur du produit, et les traces générées automatiquement par son activité ou même son absence d’activité.

Puisque ces données sont directement liées à l’utilisation du produit connecté par son utilisateur, il est nécessaire de veiller à ce que les produits soient conçus et fabriqués, et à ce que les services liés soient fournis, de telle sorte que les données générées par leur utilisation soient toujours facilement accessibles à l’utilisateur lui-même.

Le Data Act s’adresse donc spécifiquement aux entreprises qui éditent et commercialisent au sein de l’Union Européenne des objets connectés (voitures connectées, équipements domotiques, assistants vocaux, dispositifs médicaux et sanitaires, machines industrielles ou agricoles…) entendus comme des « produits physiques qui, au moyen de leurs composants, obtiennent, génèrent ou recueillent des données concernant leur performance, leur utilisation ou leur environnement et qui sont en mesure de communiquer ces données par l’intermédiaire d’un service de communications électroniques accessible au public »), à l’exclusion des ordinateurs, tablettes et smartphones « conçus pour afficher, transmettre des contenus ».

Les exemples d’objets connectés générant des données abondent. On retrouve souvent l’exemple du réfrigérateur intelligent qui trace les habitudes de consommation de son propriétaire et l’avertit lorsqu’une denrée va manquer. On peut songer aux bracelets connectés qui collectent des données physiologiques dans le cadre des produits de « quantified self » et peuvent donner des informations sur les habitudes de consommation et la santé publique. On peut songer aux voitures connectées qui émettent un très grand nombre de données techniques utiles aux travaux d’accidentologie, d’assurance, d’optimisation du réseau routier, de réparation des véhicules… Les outils de domotique génèrent eux aussi un grand nombre d’informations qui peuvent être utiles dans un contexte d’économie énergétique et d’optimisation des réseaux d’approvisionnement.

Le Data Act s’adresse également aux éditeurs des « services liés » sans lesquels les objets connectés ne peuvent pas fonctionner pleinement. La notion est cependant évasive, et on peut potentiellement y inclure un grand nombre de plateformes et de services d’hébergement sur lesquels s’appuient les objets connectés pour générer les données relatives à leur fonctionnement, leur utilisation ou leur environnement.

Ces « services liés » peuvent eux-mêmes générer des données complémentaires, de valeur pour l’utilisateur indépendamment des capacités de collecte du produit matériel, et ce même si le service lié est fourni par un tiers distinct du fabricant du produit connecté. Le champ d’application du Data Act est ici potentiellement très vaste, et la complexité technique des produits connectés va poser de nombreuses questions dans l’identification de ce qu’est un « service lié » et des entreprises concernées par l’obligation de mise à disposition de leurs données.

Retour au sommaire

Nouveaux droits des utilisateurs, nouvelles obligations des entreprises

Le Data Act introduit d’importantes modifications dans le droit des contrats, afin de poser les règles qui encadreront les échanges de données entre entreprises et avec l’utilisateur, en définissant notamment une liste de clauses abusives qui seront réputées non écrites si elles contredisent les principes de portabilité et de réutilisation des données (afin d’éliminer les distorsions dans les négociations entre les producteurs de données d’une part, et les TPE et PME réutilisatrices d’autre part).

Le Data Act apporte aussi une importante dérogation au droit sui generis du producteur de bases de données (régi en France par l’article L.341-1 du Code de la propriété intellectuelle) : ce monopole d’exploitation est désormais annihilé s’agissant des bases de données alimentées par l’utilisation d’un produit connecté.

Le Data Act affirme donc deux nouveaux droits : (i) un droit d’accès pour l’utilisateur aux données générées par l’utilisation d’un objet connecté, pour renforcer son « expérience utilisateur » ainsi que sa liberté de recourir à des tiers pour la maintenance du produit qu’il a acheté ou loué, et (ii) un droit pour l’utilisateur d’exiger la portabilité des données générées par son utilisation de l’objet connecté vers un tiers destinataire, qui pourra les réutiliser à son tour pour fournir son propre service à l’utilisateur.

S’agissant du droit d’accès, l’article 3 du Data Act énonce clairement que « La conception et la fabrication des produits, et la fourniture des services liés, sont telles que les données générées par leur utilisation sont, par défaut, facilement, de manière sécurisée et, lorsque cela est pertinent et approprié, directement accessibles à l’utilisateur ».

Le Data Act affirme corrélativement une obligation de principe pour les détenteurs de données : « Les fabricants et les concepteurs doivent concevoir les produits de telle manière que les données soient facilement accessibles par défaut, et ils devront faire preuve de transparence quant aux données qui seront accessibles et à la manière d’y accéder ». La réflexion sur l’accès des utilisateurs aux données générées doit donc désormais intervenir dès la conception des systèmes de traitement : on voir naître ici une notion d’« accessibility by design », à l’instar du « privacy by design & by default » introduit par le RGPD.

S’agissant du droit de portabilité, l’article 5 du Data Act énonce tout aussi clairement que « Lorsqu’un utilisateur ou une partie agissant au nom de ce dernier en fait la demande, le détenteur de données met à la disposition d’un tiers, dans les meilleurs délais, sans frais pour l’utilisateur et, le cas échéant, en continu et en temps réel, les données générées par l’utilisation d’un produit ou d’un service lié, à un niveau de qualité identique à celui dont lui-même bénéficie ».

Il s’agit d’un élargissement et d’un renforcement très significatifs du droit à la portabilité qui existait, pour les données personnelles, dans le RGPD. Cette nouvelle portabilité ne va pas sans poser de nombreuses questions, comme il sera examiné infra.

L’article 9 du Data Act prévoit la possibilité d’une compensation pour le fabricant de la part du tiers destinataire, et des garanties supplémentaires permettant d’assurer une utilisation proportionnée des données par ce tiers (sans toutefois que les contours de ces garanties supplémentaires soient clairement définis. Le Data Act renvoie à cet égard à la pratique contractuelle qui devra se développer, autour notamment de clauses contractuelles types qui seront édictées par les autorités européennes). Cette compensation financière devra être « équitable, non-discriminatoire et raisonnable », et ne pourra pas devenir un prix de cession des données au-delà des coûts effectifs de l’octroi technique de l’accès aux données[1], lorsque le destinataire desdites données sera une micro, petite ou moyenne entreprise.

Concrètement, ces exigences d’accessibilité et de portabilité des données générées par les objets connectés vont amener les entreprises qui les fabriquent à une réorganisation interne d’envergure, comparable à celle qu’a impliquée le RGPD. Elles vont notamment devoir :

  • Auditer leurs bases de données afin d’identifier toutes celles qui, liées à l’exploitation de leurs produits connectés, sont concernées par le Data Act. On retrouve ici la nécessité de cartographier les données industrielles, ce qu’imposait déjà le RGPD pour les données personnelles ;
  • Mettre en place une nouvelle information précontractuelle exposant les nouveaux droits d’accès et de portabilité des données, qui devra notamment indiquer (i) la nature et le volume des données susceptibles d’être générées, dont celles susceptibles d’être générées en continu et temps réel ; (ii) les modalités d’accès à ces données par l’utilisateur ; (iii) l’information selon laquelle le fabricant/fournisseur a l’intention de réutiliser les données et si oui pour quelles finalités ; (iv) l’identité (raison sociale et localisation) du détenteur de données ; (v) le moyen pour le contacter rapidement et les modalités de demande de portabilité des données vers un tiers, et enfin (vi) le droit de plainte devant l’autorité compétente.
  • Déployer des procédures internes afin de répondre efficacement aux demandes d’accès et de portabilité qui leur seront faites par les utilisateurs de leurs produits et services, tout en limitant le transfert aux seules données pertinentes ;
  • Garantir la portabilité des données ainsi que l’interopérabilité des services de traitement, en se conformant à des normes générales ou sectorielles (le Data Act se réfère à ce titre au Règlement européen 1025/2021 et aux normes que les organismes de normalisation pourront émettre à ce titre).

Les détenteurs de données devront aussi préparer des contrats à conclure avec les tiers destinataires, afin d’organiser le transfert des données, tout en veillant au respect des bases légales qui autorisent l’émetteur comme le destinataire des données à traiter les données personnelles figurant dans les bases de données générées.

En effet, en vertu du principe de liberté contractuelle, les parties doivent rester libres de négocier les conditions précises de mise à disposition de données dans leurs contrats, dans le cadre cependant des règles générales d’accès pour la mise à disposition des données posées par le Data Act. En clair, le Data Act pose l’exigence de portabilité des données, les entreprises pouvant en aménager les modalités entre elles, afin de sécuriser les transferts et de protéger, autant que faire se peut, leur secret d’affaires (cf. infra).

Ces contrats ne pourront cependant jamais exclure les exigences du Data Act, ni comporter de clauses abusives au détriment des petites et moyennes entreprises. Les effets de ces clauses abusives sont listés à l’article 13 du Data Act, qui se donne pour ambition d’éliminer les déséquilibres contractuels entre acteurs des marchés du numérique.

Les entreprises devront par ailleurs déployer des « mesures techniques appropriées de protection », y compris via des « smart contracts », afin d’empêcher l’accès aux données à d’autres tiers. Ces mesures ne devront jamais paralyser le droit à la portabilité de l’utilisateur, mais sécuriser les transferts pour que seul le destinataire désigné reçoive lesdites données.

Ces obligations doivent donc permettre le transfert des données générées, détenues par le fabriquant d’un produit connecté ou l’éditeur d’un service lié, vers un tiers destinataire. Ce dernier se voit également imposer des obligations à l’article 6 du Data Act, à commencer par l’interdiction d’utiliser les données qu’il reçoit aux fins de développer un produit concurrent du produit du fournisseur initial. A cet égard, on peut s’interroger sur les éléments de preuve à aménager pour démontrer que les données reçues n’ont pas été utilisées à cette fin, lorsque les données auront été échangées entre fournisseurs concurrents. Les risques de litiges semblent ici nombreux.

Le tiers destinataire des données ne doit pas non plus retransmettre les données à un « contrôleur d’accès » (ou « gatekeeper »), c’est-à-dire aux « très grandes plateformes » définies comme telles par le DMA (c’est-à-dire des plateformes englobant des services d’intermédiation, moteurs de recherche, réseaux sociaux, plateformes de vidéos partagées, systèmes d’exploitation, services d’hébergement cloud ou services de publicité, dont le meilleur exemple est Google), sauf dans le cas où ce fournisseur tiers s’appuie justement sur les services d’un contrôleur d’accès, en tant que sous-traitant, pour fournir son propre service.

Retour au sommaire

Adhérences avec le RGPD

Les données générées objets du Data Act peuvent se rapporter à une personne physique identifiée ou identifiable, en particulier quand l’utilisateur est une personne physique. Le RGPD s’applique bien entendu aux données personnelles incluses dans les données générées, même si elles sont inextricablement liées.

A cet égard, le Data Act ne crée pas de nouvelle base juridique pour exiger l’accès ou la portabilité des données personnelles pour une autre personne que la personne concernée, seules les bases légales prévues à l’article 6 du RGPD pouvant s’appliquer. Le Data Act ne crée pas non plus de droit nouveau pour le détenteur de données d’utiliser les données générées. En principe, ce droit d’utilisation par le détenteur de données de ces données générées doit être reconnu au sein du contrat avec l’utilisateur. Le contrat doit d’ailleurs indiquer les finalités poursuivies par le détenteur de données qui souhaite réutiliser les données générées.

La personne physique concernée conserve bien entendu son droit d’accès à ses données personnelles en vertu du RGPD, et, si elle est également l’utilisateur au sens du Data Act, elle aura dorénavant un droit d’accès aux données non personnelles générées par le produit qu’elle utilise.

En revanche, si l’utilisateur n’est pas la personne connectée (ex : une entreprise déploie une flotte de véhicules connectés géolocalisés), cet utilisateur restera considéré comme responsable des traitements de données personnelles effectués via le produit connecté ou le service lié. Donc, si cet utilisateur, personne morale, demande communication de données personnelles dans le cadre de son accès aux données générées, ce responsable de traitement doit pouvoir s’appuyer sur une base légale au sens du RGPD.

La personne concernée devra quant à elle recevoir l’information liée à l’utilisation de ses données par l’utilisateur, notamment la finalité qu’il poursuit, ce qui constitue là encore l’application normale du RGPD.

Le Data Act note qu’un utilisateur, personne morale, qui obtient les données générées dans le cadre de l’article 4 du Data Act, peut alors devenir à son tour lui-même un détenteur et être soumis en conséquence aux obligations de mise à disposition et de portabilité du Data Act.

Lorsque l’utilisateur fait valoir son droit à la portabilité des données générées en vertu de l’article 5 du Data Act, le tiers destinataire (ex : société de service après-vente, tiers mainteneur…) ne doit pouvoir traiter les données mises à sa disposition à la demande de l’utilisateur que pour les fins convenues entre l’utilisateur et ce tiers destinataire, et ne les partager avec un autre tiers que si c’est strictement nécessaire à l’exécution du service demandé par l’utilisateur.

Le Data Act précise qu’en toute hypothèse, cette réutilisation des données ne doit pas être faite par le tiers aux fins de profilage des personnes, sauf si le service qu’il fournit à l’utilisateur inclure précisément un tel profilage. On a voulu ici fermer la possibilité d’une réutilisation anarchique des données aux fins de profilage publicitaire ou de prospection commerciale notamment.

Le Data Act donne ici une nouvelle vigueur au droit à la portabilité des données personnelles prévu par l’article 20 du RGPD. Cet article prévoyait en effet le droit pour la personne concernée de demander la portabilité de ses données personnelles vers un autre responsable de traitement, uniquement lorsque ces données sont traitées par le premier fournisseur en vertu d’un contrat entre eux, ou sur la base de son consentement exprès.

Mais ce droit du RGPD était limité, en pratique, par de nombreux obstacles tels que la disparité des systèmes de traitement de données, la multiplicité des formats de données, ou encore le secret d’affaires ou le droit sui generis du producteur de bases de données, autant de limitations qui rendaient la portabilité largement théorique.

Désormais, via le Data Act, la portabilité s’étend aux données industrielles non personnelles générées par l’utilisation du produit connecté. On retrouve dans le Data Act des exigences qui existaient déjà dans le RGPD : l’exigence de pertinence des données (les données portées doivent être exactes, complètes, fiables, pertinentes et à jour, et l’exigence de minimisation des données (les données portées doivent se limiter à ce qui est nécessaire pour fournir le service, et le tiers ne doit les traiter que pour ces finalités convenues avec l’utilisateur, sans ingérence du détenteur). Une fois le service fourni, ou si les données ne sont plus nécessaires pour la finalité convenue, le tiers doit s’en défaire.

Source : Commission Européenne

Cet élargissement de la portabilité ne va pas sans poser des questions de compatibilité avec le RGPD. En effet, la portabilité de l’article 20 du RGPD ne s’applique qu’à des données collectées par le responsable de traitement sur la base (i) d’un contrat en cours ou (ii) du consentement de la personne concernée. Or, la portabilité de l’article 5 du Data Act inclut des données générées, y compris si elles sont personnelles, collectées en vertu de toute base légale de l’article 6 du RGPD, et pas seulement l’exécution du contrat ou le consentement de la personne. En outre, cette nouvelle portabilité ne bénéficie pas qu’à la personne concernée, mais plus largement à l’utilisateur du produit connecté, dont on sait qu’il peut s’agir d’une personne morale.

Des doutes subsistent donc pour l’heure sur l’étendue exacte des données concernées par le nouveau droit à la portabilité, et notamment sur le sort des données de communications électroniques qui sont, elles, couvertes par la Directive eprivacy de 2002, laquelle n’autorise leur transfert à un tiers que sur la base du consentement. Et, comme exprimé par le Contrôleur européen des données et le CEPD dans leur avis conjoint du 4 mai 2022, des doutes existent aussi quant au risque que cette nouvelle portabilité entraîne le transfert de données personnelles sensibles à des tiers (telles que les données de santé) en dehors du strict contrôle des personnes concernées.

Quoi qu’il en soit, selon l’article 5 du Data Act, l’utilisateur (ou un tiers mandaté par ses soins) peut désormais demander au détenteur de données de partager les données avec un destinataire désigné par l’utilisateur. Cette portabilité doit être mise en œuvre (i) dans les meilleurs délais, (ii) gratuitement pour l’utilisateur (sans préjudice de la compensation équitable autorisée par le Data Act), (iii) en continu si possible, et (iv) à un niveau de qualité identique.

Comme dans le RGPD, le détenteur de données qui reçoit une telle demande doit vérifier l’identité du demandeur, puis procéder au transfert sans porter atteinte à la protection des données personnelles de tiers (ainsi, le transfert des données générées ne peut inclure que les données personnelles des personnes concernées en lien avec l’utilisateur, en vertu d’une base légale conforme au RGPD).

Comme rappelé par l’article 6 du Data Act, le destinataire qui reçoit les données ne peut les utiliser qu’aux finalités et dans les conditions convenues avec l’Utilisateur, pour lui fournir le service demandé par ce dernier, et sous réserve de disposer lui-même d’une base légale conforme au RGPD s’agissant des données personnelles contenues dans les données générées reçues.

Enfin, l’article 6 du RGPD interdit la réutilisation, par le destinataire, des données qu’il reçoit aux fins de développer un produit concurrent du produit du détenteur initial des données. Il s’agit d’une affirmation de principe, mais dans les faits, on voit encore assez mal comment deux entreprises concurrentes, qui s’échangent des données à la demande de leur client utilisateur, pourront s’abstenir d’observer comment sont utilisées les données afin de nourrir leur propre R&D. Les contrats à venir entre détenteurs et destinataires devront faire preuve d’une certaine inventivité à cet égard.

Les litiges qui pourraient survenir entre détenteurs et destinataires de données dans la mise en œuvre de la portabilité et des contrats de gré à gré qu’ils auront conclus, pourront être soumis à des organismes certifiés, afin de vérifier notamment l’effectivité des conditions équitables, raisonnables et non discriminatoires de mise à disposition des données. Ces organismes, qui seront certifiés par les états-membres, devront être indépendants, experts, rapides et économiques. Ils donneront lieu à une procédure contradictoire, puis à une décision sous 90 jours, susceptible de recours devant les juridictions compétentes de l’état-membre.

Retour au sommaire

Montée en puissance de l’exigence d’interopérabilité

La portabilité des données est une notion juridique ; l’interopérabilité des services et des systèmes est sa condition technique. On entend par « interopérabilité » la capacité d’au moins deux « espaces de données ou réseaux de communication, systèmes, produits, applications ou composants » d’échanger et d’utiliser des données afin de remplir leurs fonctions.

L’article 28 du Data Act pose les « exigences essentielles » d’interopérabilité, qui doivent conduire les entreprises détentrices de données générées à élaborer, rendre disponible et tenir à jour la description des données, leur méthode de collecte, leurs qualité, structure, format, classification et taxinomie, ainsi que les modalités techniques d’accès aux données.

L’article 29 s’attarde sur les exigences d’interopérabilité des services de traitement de données, et pose les conditions du « cloud switching », avec l’obligation pour leurs exploitants d’élaborer des spécifications d’interopérabilité ouvertes en conformité avec les normes européennes. Le texte parle d’interopérabilité syntaxique, sémantique et comportementale. En synthèse, l’interopérabilité n’est plus une option, mais une obligation.

Le Data Act annonce de futurs « actes délégués » de la Commission Européenne pour publier des référentiels techniques qui s’imposeront aux entreprises, domaine par domaine, pour compléter les annexes du Règlement 1025/2021.

Retour au sommaire

La problématique du secret d’affaires

Le Data Act ne va pas sans causer l’émoi de nombreuses entreprises qui jusqu’à présent, considèrent que les modèles conceptuels de données inhérents à leurs produits relèvent de leur secret d’affaires. En effet, les données générées par un produit connecté ou un service lié sont très souvent considérés par leurs concepteurs comme procédant d’un secret industriel auxquels le public comme leurs concurrents ne doivent pas accéder. Le choix des données, leur sens, leur contenu, est souvent lié aux fonctionnalités du produit elles-mêmes. Un développeur de produit connecté considérera donc avec une certaine inquiétude l’obligation de communiquer ces données aux utilisateurs ou, pire, à des entreprises tierces qui peuvent être ses concurrentes.

Le secret d’affaires fait lui-même l’objet d’une protection (notamment par la Directive européenne 2016/943 du 8 juin 2016). Il s’entend, selon l’article 2 de cette directive, d’informations « qui répondent à toutes les conditions suivantes : a) elles sont secrètes en ce sens que, dans leur globalité ou dans la configuration et l’assemblage exacts de leurs éléments, elles ne sont pas généralement connues des personnes appartenant aux milieux qui s’occupent normalement du genre d’informations en question, ou ne leur sont pas aisément accessibles ; b) elles ont une valeur commerciale parce qu’elles sont secrètes ; c) elles ont fait l’objet, de la part de la personne qui en a le contrôle de façon licite, de dispositions raisonnables, compte tenu des circonstances, destinées à les garder secrètes. »[2]

L’article 4 du Data Act dispose alors que « Les secrets d’affaires ne sont divulgués qu’à condition que toutes les mesures spécifiques nécessaires soient prises pour préserver leur confidentialité, en particulier en ce qui concerne les tiers. Le détenteur de données et l’utilisateur peuvent convenir de mesures visant à préserver la confidentialité des données partagées, en particulier en ce qui concerne les tiers ».

L’article 5 du Data Act confirme que « Les secrets d’affaires ne sont divulgués à des tiers que dans la mesure où ils sont strictement nécessaires pour atteindre la finalité convenue entre l’utilisateur et le tiers et où le tiers prend toutes les mesures spécifiques nécessaires qu’il a arrêtées avec le détenteur de données pour préserver la confidentialité du secret d’affaires. Dans ce cas, la qualité de secret d’affaires des données et les mesures visant à préserver la confidentialité sont précisées dans l’accord conclu entre le détenteur de données et le tiers ».

On constate donc dans le Data Act une formulation selon laquelle la communication des données générées ne doit pas se faire au détriment du secret d’affaires du détenteur initial, mais qui dès lors que ces données doivent être communiquées, conduit à penser qu’elles ne peuvent plus avoir de caractère secret. Il s’agit manifestement d’une approche volontariste qui tend à soustraire les données générées du périmètre du secret d’affaires afin d’obtenir leur circulation entre acteurs des marchés européens. Mais ceux-ci vont être confrontés à une rédaction circulaire qui ne permet pas clairement de délimiter la frontière entre données générées à communiquer et secret d’affaires à préserver. Il va leur appartenir de repenser leurs produits pour éviter que les données issues de leur utilisation ne révèlent leur fonctionnement…

Toutefois, entre secret d’affaires et portabilité des données, le choix est fait. D’ailleurs, dans ses lignes directrices du 13 décembre 2026, soit dès avant le RGPD, le Groupe Art. 29 (devenu le CEPD) soulignait que le secret d’affaires ne devait pas constituer en soi un motif de refus opposé à la portabilité des données personnelles : le Data Act pose donc qu’il ne doit pas non plus être un obstacle à la portabilité des données générées, charge aux entreprises qui s’échangeront ces données d’aménager entre elles, y compris par contrat, les conditions de protection du secret d’affaires pour éviter qu’il soit divulgué au-delà du tiers destinataire.

Retour au sommaire

L’encadrement des flux transfrontaliers

Autre problématique traitée par le Data Act, et autre adhérence avec le RGPD : la protection des données dans le cadre des flux transfrontaliers. A l’instar du RGPD qui a posé des exigences pour que ne puissent être transférées des données personnelles en dehors du territoire de l’Union Européenne qu’à la condition qu’existent des garanties juridiques fortes (clauses contractuelles types, règles contraignantes d’entreprise), le Data Act rappelle que les transferts des données générées ne doit pas non plus exposer celles-ci à un risque d’accès par les autorités étrangères (qui ne seraient pas liées aux pays européens par un accord international, comme par exemple un traité d’entraide judiciaire).

Or, l’évolution récente du RGPD a montré qu’il s’agissait d’une question épineuse, depuis la décision de la CJUE du 16 juillet 2020 dite « Schrems II » qui a invalidé le privacy shield américain, et qui a fragilisé les autres modes habituels d’encadrement des flux transfrontaliers. Suite à cette décision, le CEPD avait affirmé qu’il appartenait aux entreprises qui déclenchent de tels flux, de s’assurer de la compatibilité des lois du pays d’importation avec les garanties essentielles européennes et, le cas échéant, de déployer des mesures additionnelles (techniques, organisationnelles ou contractuelles) pour renforcer leur protection et les mettre à l’abri d’une divulgation aux autorités étrangères (allusion notamment aux lois américaines relatives au renseignement).

Le Data Act s’inspire très fortement de ces recommandations pour poser qu’en cas de transfert des données générées à l’étranger, dans le cadre de leur nouvelle portabilité, l’entreprise doit vérifier que le droit du pays de destination ne contredit pas les lois européennes et les lois des états-membres, en matière non seulement de protection des données personnelles, mais également en matière de protection de la propriété intellectuelle, du secret d’affaires (encore lui), des engagements contractuels de confidentialité ou encore de protection des « données commercialement sensibles » (soit un concept particulièrement large et susceptible d’interprétation).

Cela accroît encore le champ des réglementations étrangères qui pourraient constituer un obstacle à la transférabilité des données, et alourdit considérablement le poids des vérifications juridiques à effectuer avant de procéder au transfert.

Comme préconisé par le CEPD en matière de données personnelles, l’article 27 du Data Act exige d’entreprise destinataire des données générées recevant une demande d’accès émanant d’une autorité étrangère, qu’elle éprouve cette demande afin de vérifier sa licéité et sa proportionnalité, qu’elle s’assure que la demande est spécifique (ex : la demande ne porte que sur un suspect) et que la décision est susceptible de contestation devant une juridiction du pays tiers compétente en la matière.

Cet article 27 du Data Act impose également aux entreprises de déployer « toutes les mesures techniques, juridiques et organisationnelles raisonnables, y compris les accords contractuels » pour empêcher le transfert ou l’accès des données aux gouvernements tiers, dans le cas où les législations européennes susmentionnées seraient bafouées. Si le Data Act promet de futures lignes directrices, ce point pose actuellement de nombreuses questions quant à la capacité des entreprises européennes pour vérifier la compatibilité légale des transferts de données, exactement comme dans le cadre du RGPD.

Retour au sommaire

Mise à disposition des données au bénéfice des autorités publiques

Enfin, le chapitre V du Data Act innove en posant le principe d’un accès aux données générées au bénéfice des administrations publiques de l’Union ou des états-membres européens, afin de permettre aux pouvoirs publics de prendre des mesures pour le bien commun, notamment en cas d’urgence publique (entendue comme « une situation exceptionnelle ayant une incidence négative sur la population de l’Union, d’un État membre ou d’une partie de celui-ci, entraînant un risque de répercussions graves et durables sur les conditions de vie ou la stabilité économique, ou la détérioration substantielle d’actifs économiques dans l’Union ou les États membres concernés », et qui pourra caractériser par exemple des situations de catastrophes naturelles ou des impératifs de sécurité ou de santé publiques) entraînant un « besoin exceptionnel pour les données demandées ».

Le Data Act crée donc à la charge des détenteurs de données (exception faite des micro et petites entreprises) une obligation, en cas de besoin exceptionnel d’utiliser leurs données, de les fournir à l’institution publique qui en fait la demande. Cela impliquera pour l’institution publique de démontrer le besoin exceptionnel, ainsi que la spécificité et la proportionnalité des données demandées, et de préciser le délai dans lequel les données doivent lui être fournies.

Le détenteur de données devra alors s’exécuter (sauf à arguer de l’un des motifs de refus énumérés à l’article 18 du Data Act), en s’efforçant si possible d’en exclure les données personnelles ou de les pseudonymiser. Cette mise à disposition des données issues du secteur privé sera gratuite s’il s’agit pour l’institution publique de répondre à une urgence publique.

Retour au sommaire

Perspectives

En cas de non-respect des futures obligations du Data Act, son article 33 met à la charge des états-membres de définir les sanctions applicables, qui devront être « proportionnées et dissuasives ». Mais ce même article confie d’ores et déjà aux CNIL européennes la faculté de prononcer des amendes administratives identiques à celles du RGPD, qui peuvent donc aller jusqu’à 4% du chiffre d’affaires mondial de l’entreprise.

Le Data Act apparaît donc bien comme un « RGPD des données industrielles » en créant de nouvelles obligations à la charge des entreprises. Le Data Act a aussi pour effet de relativiser leur secret d’affaires, et d’annihiler le monopole juridique dont les détenteurs de données générées disposaient jusqu’à présent sur celles-ci.

Ces obligations sont imposées afin de créer les conditions d’un grand marché numérique européen, au sein duquel les données industrielles pourront circuler afin de favoriser la concurrence, l’innovation et l’interopérabilité des services. Certains acteurs redoutent cependant qu’en dépit des affirmations de principe du Data Act sur le respect du secret d’affaires et l’absence de concurrence déloyale, l’accès aux données favorise des actions de reverse engineering permettant aux concurrents du détenteur de données de copier son produit, puisque les données techniques sont étroitement liées aux objets qui permettent de les générer. D’aucun s’interrogent également sur la sécurité des données personnelles, qui pourrait être mise à mal par la systématisation des transferts aux tiers dans le cadre de la portabilité du Data Act.

Si le Data Act répond à un objectif économique légitime et extrêmement ambitieux, on peut regretter, à l’unisson avec notamment le CEPD et le Contrôleur européen de la protection des données, que les interactions entre Data Act et RGPD soient parfois insuffisamment bordées. C’est notamment l’une des raisons qui plaident pour que les CNIL européennes soient désignées comme les autorités compétentes pour encadrer l’application future du Data Act, afin d’assurer sa cohérence avec le RGPD, le DGA ou le DMA.

De plus, certains concepts employés par le Data Act semblent très théoriques et, même en nourrissant la réflexion par des exemples d’objets connectés en fort déploiement à travers l’Union, on peine encore à mesurer l’ensemble des implications juridiques, techniques et économiques. De nombreuses entreprises ont donc exprimé leur inquiétude face à une complexification croissante de leurs obligations réglementaires.

Un délai de 18 mois est actuellement évoqué, à compter de la future entrée en vigueur du Data Act, pour que les entreprises s’y conforment. Ce délai est d’ores et déjà dénoncé comme trop court, compte tenu des bouleversements que ses obligations va introduire dans le fonctionnement de nombreuses entreprises. La discussion continue donc afin que l’esprit de ce texte, favorable aux entreprises européennes, n’aie pas d’effet pervers pénalisant, et reçoive une application cohérente et harmonisée avec les autres grands textes juridiques applicables à l’économique numérique dont le RGPD.

Retour au sommaire

Notes

[1] Considérant 45 : « Les coûts directs liés à la mise à disposition de données sont les frais encourus pour la reproduction, la diffusion par voie électronique et le stockage des données, mais pas pour la collecte ou la production des données ».

[2] Le droit français adopte une définition très voisine à l’article L. 151-1 du Code de commerce, évoquant une information qui « 1° n’est pas, en elle-même ou dans la configuration et l’assemblage exacts de ses éléments, généralement connue ou aisément accessible pour les personnes familières de ce type d’informations en raison de leur secteur d’activité; 2° revêt une valeur commerciale, effective ou potentielle, du fait de son caractère secret; et 3° fait l’objet de la part de son détenteur légitime de mesures de protection raisonnables, compte tenu des circonstances, pour en conserver le caractère secret ».

Responsabilité d’OVH suite à l’incendie survenu dans ses datacenters : Bis repetita

Par jugement du 9 mars 2023, le Tribunal de commerce de Lille a, à nouveau, condamné OVH à indemniser un client – la société BLUEPAD – victime de l’incendie qui s’est déclaré en mars 2021 dans ses datacenters strasbourgeois.

Dans le droit fil de sa décision rendue le 26 janvier dernier, le Tribunal a d’abord considéré que la problématique de la localisation des serveurs du client était entrée dans le champ contractuel, de sorte qu’au regard des informations fournies par OVH, cette dernière s’était contractuellement engagée à héberger le premier serveur de la société BLUEPAD dans son datacenter SBG1 et le second serveur (contenant les sauvegardes) au dans le datacenter SBG2.

Or, il se trouve qu’en réalité, les deux serveurs étaient situés dans le même local, ce qui caractérise une faute imputable à OVH ayant provoqué la perte des données du client. Et le Tribunal de souligner que « cette situation n’aurait pu se produire si les deux serveurs étaient dans ses datacentres distincts comme l’avait indiqué la société OVH ».

Les juges lillois ont ensuite jugé qu’OVH n’est pas fondée à invoquer la clause d’exclusion de responsabilité pour cas de force majeure.

Pour écarter l’effet exonératoire de la force majeure, le jugement retient simplement que les différents préjudices subis par la société BLUEPAD sont la conséquence directe de la faute commise par OVH dans la localisation du serveur (les deux serveurs étaient localisés dans le datacenter SBG2, alors qu’ils auraient dû être localisés dans des datacenters séparés, comme l’indiquaient les documents contractuels ainsi que la console de gestion) et non de l’incident survenu sur le site OVH de Strasbourg.

Là où le premier jugement du 26 janvier 2023 s’appuyait sur les dispositions de l’article 1170 du Code civil pour déclarer non écrite la clause de force majeure, celle-ci ayant pour effet de libérer le prestataire de ses engagements, à savoir « réaliser les copies de sauvegarde et les mettre en sécurité » au moment précis où ceux-ci se révèlent nécessaires et utiles pour le client ; la présente décision écarte l’effet exonératoire de la force majeure en relevant simplement que la situation préjudiciable découle directement de la faute commise par OVH (le fait d’avoir mis les deux serveurs du client dans le même datacentres) et non de la survenance de l’incendie.

Enfin, le jugement a écarté l’effet de la clause limitative de responsabilité du contrat OVH. Reprenant le raisonnement suivi dans l’espèce ayant donné lieu au jugement du 26 janvier dernier, les juges lillois ont, par application de l’article 1171 du Code civil et après avoir qualifié le contrat d’OVH de contrat d’adhésion soustrait à toute négociation, déclaré la clause limitative de responsabilité non écrite aux motifs qu’elle revient à limiter la responsabilité du prestataire à une somme qui ne saurait dépasser 679,09€, ce qui est de nature à « transférer le risque sur l’autre partie de manière injustifiée et sans contrepartie pour cette dernière » et à créer ainsi « un déséquilibre significatif au contrat ».

Ainsi, le Tribunal a condamné OVH à payer à la société BLUEPAD la somme totale de 144 836,69€ en réparation des différents préjudices invoqués.

Incendie dans ses datacenters strasbourgeois : la responsabilité contractuelle d’OVH est engagée

Par décision du 26 janvier 2023, le Tribunal de commerce de Lille a, au terme d’une analyse détaillée et circonstanciée de la documentation contractuelle et des circonstances de l’espèce, condamné la société OVH à indemniser l’un de ses clients du préjudice subi à la suite de l’incendie survenu dans la nuit du 9 au 10 mars 2021 dans ses datacenters situés à Strasbourg et ayant entrainé la perte des données de sauvegarde qu’elle s’était contractuellement engagée à préserver.

L’intérêt de ce jugement est triple.

Sur la localisation des sauvegardes et la faute commise par OVH

La décision est d’abord intéressante car elle retient la responsabilité contractuelle d’OVH « du fait de son manquement contractuel à la réalisation des sauvegardes de son serveur ».

La responsabilité d’OVH a été retenue, en l’espèce, parce qu’elle était contractuellement tenue de réaliser des sauvegardes automatiques des données hébergées sur ses serveurs dans un espace de stockage physiquement isolé du serveur principal, de sorte qu’en cas de perte de données du serveur principal, le client puisse restaurer les données depuis les sauvegardes.

Dès lors, en stockant les trois réplications de sauvegardes au même endroit que le serveur principal, OVH n’a pas respecté ses obligations contractuelles et le client est donc bien fondé à demander la réparation des préjudices résultant de ce manquement.

Le Tribunal a en revanche écarté la qualification de faute lourde à l’égard de la sécurité anti-incendie du site de Strasbourg, relevant que « s’il est surprenant et inhabituel que la SAS OVH ait choisi de construire une partie de son datacenter de Strasbourg avec des containers maritimes recyclés et que ces derniers ne comportent pas de système d’extinction automatique », il n’est pas démontré que de tels choix ont « un lien de causalité avec l’incendie » ou encore qu’ils « enfreignent (…) la loi ou règlementation ».

Au contraire, selon le Tribunal, il ressort des pièces produites par OVH que « cette dernière a pris les mesures de précaution d’usage contre l’incendie », de sorte que la qualification de faute lourde est écartée en l’espèce.

Sur la neutralisation de la clause de « Force majeure » par application de l’article 1170 du Code civil

L’intérêt de la décision réside ensuite dans le sort réservé par les juges lillois à la notion de force majeure.

En l’espèce, le contrat OVH prévoyait une liste d’événements et/ou circonstances – parmi lesquels « les incendies (…) les inondations et explosions, ainsi que les coupures d’électricité en dehors du contrôle de la Partie affectée » – pré-qualifiés comme étant constitutifs de cas de force majeure.

Or, comme le souligne le Tribunal, du fait de sa rédaction, il résulte d’une telle clause qu’« en cas de sinistre, la SAS OVH n’est (…) jamais tenue de réaliser sa mission au moment où, pourtant, celle-ci est nécessaire ».

En effet, d’un point de vue opérationnel, la réalisation des copies de sauvegarde n’a d’intérêt pour le client qu’à la survenance d’un sinistre, ce dernier pouvant se reposer, en cas de sinistre, sur les sauvegardes pour restaurer les données.

Dès lors, une clause de force majeure qui a pour effet de libérer un prestataire de ses engagements, à savoir « réaliser les copies de sauvegarde et les mettre en sécurité » au moment précis où ceux-ci se révèlent nécessaires et utiles pour le client contredit l’essence même de l’obligation.

Dit autrement, une telle clause a pour effet de vider le contrat de sa principale obligation, et doit donc, par application de l’article 1170 du Code civil, être jugée non écrite.

Tel est le raisonnement circonstancié qu’a suivi le Tribunal pour neutraliser la clause 7.7 « Force majeure » du contrat OVH, déclarant celle-ci « non écrite ».

Sur la neutralisation des effets de la clause limitative de responsabilité par application de l’article 1171 du Code civil

Enfin, le jugement revêt un intérêt lié à la clause limitative de responsabilité prévue par le contrat OVH.

A nouveau, suivant un raisonnement didactique et après une analyse fouillée de la documentation contractuelle, le Tribunal a, par application de l’article 1171 du Code civil (« toute clause non négociable, déterminée à l’avance par l’une des parties, qui crée un déséquilibre significatif entre les droits et obligations des parties au contrat est réputée non écrite »), écarté le jeu de la clause limitative de responsabilité insérée au contrat.

Les juges lillois ont en effet déclaré cette clause non écrite aux motifs que, telle que pré-rédigée par OVH, celle-ci conduit in fine à limiter sa responsabilité à une somme plafonnée à 1 800,48 euros… ce qui est de nature à créer « une véritable asymétrie entre les obligations de chacun (….), cette clause transférant le risque sur l’autre partie de manière injustifiée et sans contrepartie pour cette dernière ».

Par ce jugement, le Tribunal rappelle que les clauses aménageant la responsabilité en cas de manquement contractuel doivent tenir compte du contexte opérationnel et de la nature particulière des prestations concernées, sous peine d’être invalidées, et ce d’autant plus lorsqu’il s’agit d’un contrat d’adhésion.

Néanmoins et comme souvent, la question se pose en des termes différents selon que l’on se place du côté du client ou de celui du prestataire.

En effet, là où le client pourrait, en cas de litige, tirer profit d’une qualification en contrat d’adhésion, par l’invalidation de clauses créant un déséquilibre significatif entre les droits et obligations des parties, il pourrait au contraire être opportun pour le fournisseur d’ouvrir des négociations plutôt que d’imposer la signature d’un contrat-type (et donc d’adhésion) dont certaines clauses, par construction non négociées, pourraient, dans le cadre d’un contentieux, se révéler inadaptées aux réalités opérationnelles et financières du projet concerné et donc être déclarées non écrites.

Responsabilité contractuelle – faute lourde (non) Contrats d’adhésion – Clause limitative de responsabilité (exclusion) – clause de force majeure (neutralisation)

Comment vérifier que votre site internet respecte bien le RGPD ?

Les points clés et conseils

Aujourd’hui, ne pas avoir de site internet pour une entreprise n’est pas concevable et les enjeux business liés aux sites internet sont colossaux : acquisition de nouveaux clients, e-commerce, réputation… Les sites internet sont les vitrines des entreprises, un socle essentiel pour le développement commercial d’une marque. Alors, quelles sont les actions de base à mettre en place pour respecter le RGPD ? Comment rassurer ses prospects grâce à la protection des données ?

S’ils sont essentiels pour l’activité, les sites internet sont l’un des principaux points de collecte et de traitement des données des utilisateurs et doivent donc faire l’objet d’une attention toute particulière au regard du RGPD. Les entreprises sont parfois tentées de collecter un maximum d’informations sur les utilisateurs et consommateurs sur leur site internet pour des besoins stratégiques (par exemple, créer un compte client et connaître leurs préférences, leur transmettre de la communication commerciale, etc…) Les sites internet sont également les points de dépôts de cookies et traceurs qui permettent ensuite de faire de la publicité en ligne, de mieux cibler les comportements des utilisateurs, de relancer des visiteurs déjà venus sur le site internet, etc.


Ne pas mettre son site en conformité au RGPD peut être passible d’une amende de 20 millions d’euros ou de 4% du chiffre d’affaires annuel si l’autorité nationale de protection des données (en France, la « CNIL ») estime, par exemple, que les droits des personnes concernées ne sont pas respectés, ou encore qu’un transfert de données hors UE est réalisé sans respecter les formalités nécessaires. Au-delà de la sanction financière, une sanction ou ne serait-ce qu’une mise en demeure rendue publique pourrait entacher l’image de marque de l’entreprise et affecter sa compétitivité. Des entreprises ont d’ailleurs déjà été sanctionnées comme ce fût le cas de l’entreprise Spartoo suite à plusieurs manquements.


Par ailleurs, l’autorité de protection pouvant contrôler les sites internet à distance, sans avertir son éditeur, le rendre conforme au RGPD est donc primordial.


Quelques principes simples permettent de vérifier que votre site internet est en conformité au RGPD.


Vérifiez que vous collectez le consentement des utilisateurs correctement

Le dépôt de cookies et de traceurs est un des points les plus importants pour la conformité RGPD de votre site et est l’un des manquements les plus sanctionnés par la CNIL ces deux dernières années. Les CMP permettent à l’utilisateur de donner son accord pour la collecte et le traitement de ses données et de savoir à qui sont transmises ses données (outil de CRM, réseaux sociaux, outils analytiques…).

Afin de collecter le consentement de vos utilisateurs, vous pouvez utiliser une solution dite de « Consent Manager Platform » (ou « CMP) qui permet d’intégrer un widget sur votre site qui va informer les utilisateurs sur les cookies et traceurs déposés, et leur permettre de consentir à leur dépôt (lorsque nécessaire). Le widget de consentement doit détailler à quoi vont servir les cookies et traceurs déposés, et permettre au visiteur de sélectionner lesquels il accepte, et lesquels il refuse. Ce widget doit être accompagné d’une « cookie policy » qui détaille les cookies déposés, et leurs propriétaires.

Les entreprises ont, d’ailleurs, bien compris l’importance de mettre en conformité leur gestion des cookies car près de 67% des entreprises interrogées dans le cadre du Baromètre RGPD 2022 de Data Legal Drive ont intégrés une Consent Management Platform à leurs sites internet.

Vérifiez votre politique de confidentialité

La politique de confidentialité de votre site est souvent considérée comme la carte d’identité de la conformité RPGD de votre entreprise et de votre site Internet.

Cette politique répond au droit à l’information des utilisateurs sur leurs données et doit être claire, tacite, transparente et accessible.

Elle est l’expression des traitements que vous réalisez, de leurs modalités (catégories de données, destinataires, durées de conservations, etc.) ainsi que des droits qu’ont les utilisateurs sur leurs données. La politique de confidentialité n’est pas un document fixe et intemporel. Il faut la publier sur son site, faire preuve de transparence et alimenter ainsi la relation de confiance avec vos prospects et vos clients.

Téléchargez le modèle de politique de confidentialité personnalisable rédigé par Data Legal Drive.

Lors d’une collecte de données, qu’elle soit directe ou indirecte, l’utilisateur doit en être informé et vous devez garantir un niveau d’informations suffisant.

En plus de leur droit à l’information, les utilisateurs de votre site ont d’autres droits associés à leurs données : droit d’accès, droit de rectification, droit à l’oubli, droit de portabilité et droit d’opposition. Pour pouvoir exercer ces droits, vous devez donner la possibilité aux utilisateurs de vous contacter via une adresse email ou par courrier ou encore via un formulaire de contact dédié.

Bien qu’il soit tentant de collecter un maximum de données pour des besoins analytiques, il est important de ne collecter que les données strictement nécessaires, Cela répond au principe de minimisation de la collecte de données qui est l’une des pierres angulaires du RGPD.

Mettre son site en conformité au RGPD est essentiel et est l’un des manquements les plus sanctionnés en volume ces dernières années.

Les sites internet des entreprises sont également un des moyens pour les autorités nationales de contrôle de vérifier les premiers éléments de votre conformité RGPD. En effet, si votre site est la vitrine de votre entreprise aux yeux de vos consommateurs, il est également un moyen fréquemment utilisé pour les autorités de vérifier votre sensibilité au RGPD. Une des pratiques les plus courantes des agents des autorités de contrôle est de tester l’intégralité d’un parcours client afin de voir si vous êtes en conformité. Il est donc essentiel de respecter ces quelques principes clés.

Hébergez vos données en Europe

Privilégiez l’hébergement des données collectées sur votre site Internet et de vos serveurs en Europe vous permet de vous assurer d’un niveau de protection plus important pour les données personnelles et vous épargne des formalités juridiques supplémentaires En effet, votre prestataire d’hébergement européen est contraint règlementairement de respecter les standards de protection européen et notamment le RGPD. Il est recommandé de réaliser une évaluation de son prestataire d’hébergement préalablement à son recours afin de vous assurer que le niveau de conformité au RGPD qu’il fournit est suffisant et vous permet, par extension, de protéger les données de vos utilisateurs.

Vérifiez la sécurité de votre site internet

La conformité au RGPD doit être associée à un niveau de sécurité web irréprochable. La sécurité d’un site Internet passe, par exemple, par la réalisation d’une analyse de vulnérabilité et de tests d’intrusion afin d’identifier les points faibles de la sécurité informatique, du point de vue réseau ou dans les systèmes d’information.

Il est également nécessaire, lorsqu’il est possible de se connecter à un compte client, que les accès soient protégés, par un identifiant et mot de passe suffisamment robuste.

RGPD et cybersécurité sont intimement liés. En effet, les sites internet peuvent être victimes de cyberattaques et celles-ci sont des sources de violations de données. Ces violations de données peuvent devoir être notifiées à la CNIL en fonction de leur ampleur et du type de données concerné et les titulaires des données faisant l’objet de la violation de données doivent dans certains cas être également avertis. Ne pas assurer un niveau de sécurité suffisant met donc en péril votre conformité au RGPD mais également la confiance que les utilisateurs ont en votre entreprise, vos produits et vos services.

Se mettre en conformité au RGPD peut sembler coûteux et contraignant mais au même titre que votre site internet est votre vitrine commerciale, il est également un gage de confiance pour les utilisateurs qui sont de plus en plus sensibilisés et attentifs à l’utilisation faite de leurs données. Assurer un niveau de conformité au RGPD satisfaisant ne doit donc pas être vu comme une contrainte mais bel et bien comme un avantage concurrentiel et un levier de confiance.

Article rédigé par les équipes de Data Legal Drive

Data Legal Drive est le Leader des logiciels de Compliance.

N°1 français des logiciels de conformité RGPD, il permet à toutes les entreprises et collectivités de protéger facilement leurs données personnelles tout en respectant les règlementations européennes.

Encadrement des flux internationaux de données – Livre Blanc

Depuis l’affaire Schrems II tranchée par la CJUE le 16 juillet 2020, et les recommandations subséquentes du Comité Européen de Protection des Données, les flux transfrontaliers de données personnelles confrontent les entreprises européennes à de graves incertitudes juridiques, et à des diligences complexes qu’il convient de discuter avec leurs partenaires et prestataires (notamment les grands cloud providers du marché). 

DS Avocats vous propose un état des lieux juridique des flux internationaux des données personnelles.

Cliquer sur l’image pour télécharger le Livre Blanc