La tendance législative actuelle s'oriente clairement en faveur du partage, de l'accessibilité et de l'interopérabilité des données industrielles. Le Data Governance Act européen, pleinement applicable depuis le 24 septembre 2023, définit les règles d'échange de données, inclut les petits acteurs dans l'économie des données et fournit un mécanisme de réutilisation de celles du secteur public.
Le Data Act européen, adopté le 27 novembre 2023, mais applicable ultérieurement, va créer un cadre visant à faciliter la circulation des données industrielles, y compris des métadonnées, sous des formats réutilisables. Les détenteurs de celles-ci ne pourront plus catégoriquement refuser sans justification de communiquer toutes celles qu'ils détiennent. Le Data Act va créer un droit d'utiliser les données relatives à un produit ou celles relatives à un service connexe et précise dans quelles conditions ce droit d'accès pourra intervenir. Il s'appliquera à tous ceux qui génèrent des données industrielles et va créer une obligation de rendre les données produites par les appareils connectés et les services connexes accessibles à l'utilisateur, et ce pour tous les services et produits mis sur le marché de l'Union européenne après le 12 septembre 2026.
Partage des données et secret des affaires
Par ailleurs, la tendance législative de libre circulation des données mérite de porter une attention particulière aux intérêts stratégiques de l'entreprise et au secret des affaires. Une entreprise peut être à la recherche d'informations techniques très précises. Et au nom du partage des données industrielles, on peut imaginer qu'elle soit fortement tentée de demander ou de récupérer indirectement des données opérationnelles, environnementales ou des données réseau traitées par ses concurrents.
L'analyse des données issues de l'utilisation de produits et services concurrents pourrait permettre de tirer des informations stratégiques, telles par exemple celles relatives à la conception des produits ou à leur articulation ou interaction avec les systèmes d'information avec lesquels ils sont destinés à être connectés. En théorie, la réconciliation entre les deux principes diamétralement opposés de partage des données et de secret est difficile à effectuer. Mais, en pratique, le refus du partage des données industrielles risque d'être régulièrement invoqué.
Une indispensable cartographie des données générées
Une politique de partage des données adaptée à l'activité et aux risques de l'entreprise devra donc être mise en place. Parce que chaque entreprise est unique et utilise des données différentes. Une cartographie des données générées par les produits et services devra donc être réalisée, ainsi qu'une analyse des risques du partage de ces données.
Il est recommandé de savoir précisément quelles données sont générées, lesquelles sont des données personnelles ou non personnelles, lesquelles sont accessibles aux utilisateurs et aux tiers, lesquelles sont exploitables par les utilisateurs et les tiers et quelle exploitation peut être faite de ces données, y compris par combinaison avec des données extérieures.
Une fois cette cartographie réalisée, il va falloir s'interroger sur la protection de ces données et sur leur diffusion. Certaines ne présentent peut-être que peu, voire pas du tout d'intérêt, et ne sont pas exploitables, et il est dès lors possible de ne pas s'en préoccuper. Mais certaines peuvent renfermer des secrets, d'autres peuvent être accessibles par un individu qui exerce son droit d'accès prévu par le RGPD et d'autres encore doivent être transmises à un utilisateur qui en fera la demande sur le fondement du Data Act.
La nécessité d'encadrer l'exploitation ultérieure des données industrielles
Il est donc vivement recommandé de réunir toutes les parties prenantes à une organisation (opérationnel, exécutif, juridique) afin de déterminer de façon claire et constante les conditions dans lesquelles le partage des données peut intervenir et comment préserver les intérêts de l'entreprise détentrice des données.
En général, lorsqu'elles sont transmises, il est difficile, voire impossible, de contrôler leur utilisation et leur exploitation ultérieure. Mais si des mesures techniques de traçabilité, de contrôle ou de limitation d'utilisation peuvent néanmoins être mises en place, il ne faut pas s'en priver. En sus, tout détenteur de données peut encadrer juridiquement le partage des données industrielles pour préserver le plus possible ses intérêts. Cela implique notamment de passer par des protocoles de non-divulgation, des codes de conduite, et surtout, des mesures contractuelles contraignantes.
Revoir les contrats
Par exemple, la lettre du Data Act précise qu'un tiers qui reçoit les données ne peut les utiliser qu'aux finalités et dans les conditions convenues avec l'utilisateur. Les entreprises devront donc modifier leurs contrats standards pour encadrer l'utilisation et la réutilisation des données. On pourra interdire expressément plusieurs scénarios d'utilisation considérés comme illégitimes et non justifiés, comme la réutilisation à des fins de recherche et de développement ou l'amélioration d'un produit d'une entreprise concurrente. En cas d'interdiction formelle dans les conditions contractuelles, l'entreprise détentrice des données pourra s'en prévaloir et exercer des recours dès lors qu'elle aura connaissance d'une utilisation prohibée.
Il est recommandé de se mobiliser dès à présent et de commencer l'exercice d'audit des données industrielles afin d'avoir une position sécuritaire, unique et équitable à l'égard des tiers, mais aussi de respecter les échéances réglementaires à venir.
Vers plus de transparence et de partage des données industrielles
Le Data Act européen doit faciliter la circulation des données, dont les data industrielles générées par les machines. Reste aux entreprises à cartographier précisément ces dernières pour respecter la régulation, tout en protégeant le secret des affaires.