Connexion

Entreprises et données non personnelles : quels enjeux ?

Par Anne Portmann

Le cabinet Osborne Clarke, en partenariat avec l’European company lawyers association (Ecla), publie un rapport sur les enjeux relatifs aux données non personnelles et autour de leur exploitation par les entreprises. En amont d’une conférence qui se tiendra le 23 juin prochain avec le Cercle Montesquieu, Claire Bouchenard, associée du bureau parisien d’Osborne Clarke, en décrypte les grandes lignes.

Dans quel contexte est publié ce rapport ? Il est né de deux constats. D’abord, les avocats du cabinet étaient de plus en plus sollicités sur ces questions relatives à la digitalisation, identifiées par le cabinet comme étant l’un des trois grands leviers de transformation actuels des modèles d’entreprise. Il convient également de noter l’actualité réglementaire européenne, avec le Data Gouvernance Act, adopté en mai dernier par le Parlement européen, et l’adoption prochaine du Data Act et du Data Space Act. Ces dispositions ont pour ambition de favoriser le partage des données non personnelles, générées par les objets connectés que nous utilisons au quotidien, depuis un simple appareil électroménager, comme un aspirateur par exemple, à un outil industriel de pointe. Ce secteur des données, dites « industrielles », était une zone encore non régulée pour l’instant.

Quels sont les principaux enseignements à tirer du sondage réalisé par l’ECLA à ce sujet, qui constitue la première partie du rapport, auprès des juristes d’entreprise européens ? Il ressort de cette enquête, à laquelle ont répondu des juristes de plus de 419 entreprises à travers toute l’Europe, que nombre de sociétés européennes ont déjà des produits ou services qui sont pilotés par la donnée (61,1 % des répondants). Le sondage montre aussi que les juristes estiment, pour 67,3 % d’entre eux, que l’aspect réglementaire ou légal est l’obstacle le plus important à l’implantation et au développement de ces produits et services. Les juristes d’entreprise ne sont pas encore à l’aise avec cet aspect qui est à la croisée de multiples règlementations, existantes ou en germe. Le rapport présente des schémas très intéressants comparant le modèle d’entreprise d’un produit ou service classique à celui d’un produit ou service connecté. On comprend les différences de circuit, de la création à la commercialisation du produit ou service connecté, la multiplication des acteurs et la complexification des relations contractuelles. Il s’agit véritablement d’un nouveau modèle puisque toutes les entreprises, quelle que soit leur activité principale, se retrouvent à devoir manager un projet IT et à être finalement en prise directe avec le consommateur. Toutes les implications de ce nouveau modèle doivent être bien identifiées et comprises, et les juristes doivent être formés à ces nouvelles relations qu’ils ne maîtrisent pas toujours encore.

Quels sont les secteurs auxquels il faudra particulièrement prêter attention ? Le rapport a vocation à balayer l’ensemble des secteurs de marché, mais démontre bien que certains d’entre eux sont plus avancés sur ces questions que d’autres. Evidemment, c’est le cas du secteur des médias et des communications. D’autres secteurs, comme le retail, sont assez peu avancés, en dépit de la crise sanitaire, dont on aurait pu penser qu’elle aurait pu être l’occasion d’un bond technologique. La réalité, c’est que les effets ont été finalement limités. Le secteur bancaire et financier est aussi très avancé en la matière.

Quel est le rôle des avocats dans ce contexte ? À ce stade, les avocats sont surtout sollicités pour des actions de formation en interne auprès des juristes et les entreprises veulent savoir quelles compétences il serait pertinent de développer sur ces questions. Nous avons sinon plutôt un rôle de « trusted advisors » ou de chefs de projet externalisés, notamment afin de mettre en place, au sein des directions juridiques, une méthodologie pour le pilotage de ces projets et une véritable gouvernance des données. Nous sommes aussi sollicités pour des avis sur des points de droit particuliers, mais surtout pour donner des solutions assez opérationnelles. On nous demande comment prendre en compte les contraintes juridiques liées aux données dès l’origine, un modèle d’entreprise compliant by design, alors même que celles-ci pourront évoluer ou être affinées au fur et à mesure de l’adoption des différentes réglementations applicables.

L’Europe peut-elle être pionnière en la matière ? Forte de la coopération entre les États membres, l’approche européenne en la matière est très intéressante. À l’instar de ce qu’elle a fait pour le RGPD, l’Europe peut imposer une véritable vision relative au partage des données non personnelles, qu’il s’agisse de données publiques, privées non personnelles, ou intermédiaires. Beaucoup de questions doivent être anticipées dans cette matière en perpétuelle évolution, qui voient apparaître de nouveaux métiers, comme ceux liés par exemple aux coopératives de données. Même si la matière est actuellement soumise à des courants contraires, puisque la création d’un marché unique européen de la donnée industrielle pose des questions en terme de vie privée, de propriété intellectuelle, de droit de la concurrence, etc., la réflexion que l’Europe veut porter va permettre de prendre de la hauteur, tout en n’oubliant pas des sujets connexes, comme celui de la décarbonation du numérique, sujet sur lequel la France est leader et qui va aussi être très prochainement investi par l’Europe.