複雜、脫節、技術性、難以應用......這些是當我們談論歐盟即將正式通過的《數據法案》(《歐洲數據法規》)時出現的這些詞。不太為公眾和專家所知,被人工智慧監管和二人組DMA/DSA儘管如此,它的文本最初的雄心壯志是巨大的。即使在今天,隨著文本的通過過程即將結束,人們的期望仍然非常高:它將在明年 11 月的全體會議上進行投票。
理論上,《數據法案》應該允許用戶 — — 以及歐洲消費者 — — 對其自己的數據擁有更多權利數據。它必須打開,甚至創造一個新的市場,其中將出現新的歐洲參與者、數據中介機構。 “透過結束數據鎖定,《數據法案》為造福所有人的數據經濟鋪平了道路»,負責數位轉型和電信的部長級代表 Jean-Noël Barrot 在一次演講中熱情地說公報從7月15日開始。經濟部長布魯諾·勒梅爾毫不猶豫地提到“歐洲數字主權」。歐盟委員會在製定該法規時甚至宣稱,到 2028 年,新市場的創建將帶來 2,700 億歐元的額外國內生產毛額。這些預測會實現嗎?這就是整個問題。
數據和物件的領域非常(太)有限?
首先,《數據法案》是關於什麼的?顧名思義,該法規涉及數據,但非常具體的數據。這些是數據透過使用連接的物件生成,例如汽車、揚聲器、吸塵器,甚至連接的散熱器。目前收集的數十億數據正沉睡在資料庫或伺服器中,或完全掌握在單一操作員手中,而它們可以被商業利用——包括被其他公司利用。而這正是安全的» 歐盟委員會希望開放這個機制——就像 2016 年針對個人資料所做的那樣。
«本來是一個應該是橫向的文本,針對的是所有的數據產生於所有經濟部門。但最終,我們意識到事實並非如此。它只涉及來自連接對象的數據「 - 這數據電腦、智慧型手機、伺服器、社交網路和搜尋引擎等線上平台的使用均被排除在《數據法》之外。並且只有數據專業或工業——非個人意義上的——成為目標。因為這是很重要的一點,個人資料也不包含在本文中,它們繼續受到歐洲個人資料法規 GDPR 的監管。結果,排除所有這些因素,“這c數據法的適用範圍變得非常有限 », Pierre-Emmanuel Frogé 註釋,他是 BCLP Paris 的律師,負責 IP IT 資料部門。
«《數據法案》的目標是讓數據更加流動,但我們意識到事實上是的,但它是在一個非常小的部門、非常少量的數據和非常具體的條件下進行的。“,他繼續說道。
數據法案的三個關鍵參與者
該條例的主要規定有哪些?一方面,使用者– 因此歐洲消費者 – 將有權要求(並獲得)他們的數據透過使用其連接的物件產生的工業。他將能夠將它們轉移到其他公司 -誰不能是加法姆– 稱為資料中介,其想法是讓他們更容易從一個提供者轉移到另一個提供者。該法規旨在鼓勵小公司和新服務的出現。它還涉及雲端運算,並將允許歐洲雲端運算參與者與當前巨頭並存。從 2026 年開始,用戶也將能夠更輕鬆地更換基礎設施供應商,而無需支付費用。
另一方面,持有者這些數據的(初始)——連接對像或其軟體的製造商——將有義務與用戶和……其他公司共享這些數據——包括他們是競爭對手的情況。最後,行政部門當發生公共緊急情況(例如健康危機)時,他們將能夠免費存取數據,但需要支付一定的費用,以支付提供數據的成本。 “與我有時在媒體上讀到的內容相反,這並不意味著公共當局可以在警方調查或審判時獲取這些數據。»,指定 Arnaud Latil,索邦大學私法講師和索邦人工智慧中心 (SCAI) 成員。
因此,歐盟 (EU) 的目標是簡化資料市場並允許新中介機構的出現。但當我們讀完124頁的規定後,我們意識到困難才剛開始。
隱私悖論:我想控制我的個人數據,但我把它給任何人
首先,資料法的整個結構取決於使用者:只有後者才能請求資料。普通用戶會理解這一點嗎? “要做到這一點需要大量的教學。»,估計 Suzanne Vergnolle,法學博士兼國家工藝美術學院 (Cnam) 講師。 “我們希望從經濟角度簡化技術營運商之間的數據,但我們將掌控權交給了不一定最願意傳輸數據的用戶»,皮埃爾·伊曼紐爾·弗羅格補充道。特別是因為後者往往是“隱私悖論»,律師繼續說。
«我們傾向於說:「我的個人資料非常重要」。但在實際操作中,我們並沒有重視。我們向任何人提供資訊。當我們收到隱私權政策時,我們點擊並接受它們,我們甚至不知道我們在做什麼。或者相反,個人沒有使用與其資料相關的權利,例如出於可移植性目的存取其資料的權利(GDPR 已對此做出規定,編者註)。這就是為什麼讓用戶控制,並命令其負責落實本辦法規定的措施數據法案有點反直覺的»,皮埃爾·伊曼紐爾·弗洛格強調。
該條例第一頁就出現了另一個主要問題:資料法“不影響 GDPR 規則的適用」。請理解:如果這兩個文本之間的規則相互矛盾,則以 GDPR(僅處理個人數據,即與已識別或可識別自然人相關的數據)為準。 “說完之後,我們就沒有多說什麼。然而,公司必須知道如何在實踐中實施這些原則。答案並不全部在文中。離它還很遠»,Suzanne Vergnolle 解釋。
個人資料和非個人資料的混合:入口阻塞
因為很多時候,個人資料和非個人資料是交織在一起的。當它們混合在一起時該怎麼辦? “在那裡,已經出現了真正的入口堵塞。一方面,《數據法案》規定:好吧,讓一切變得更流暢。這個原理值得稱讚」。但另一方面,「我們意識到,在所有這些數據中,存在個人數據和非個人數據»,皮埃爾·伊曼紐爾·弗洛格強調。
例如,Linky 計量表不僅具有識別人員的元素,例如客戶帳戶,還具有個人資料(例如,主要在晚上和週末消費的人)以及非常精確的消費數據,我們可以從中推斷出。理論上,某些元素將受到《資料法》的約束,其他元素將受到《GDPR》的約束。實際上,這種區別將非常複雜。 “具體來說,在保持符合 GDPR 的情況下簡化資料將會很複雜»,皮埃爾·伊曼紐爾·弗洛格 (Pierre-Emmanuel Frogé) 總結道。
是否會不惜一切代價援引商業機密?
公司感到震驚的另一個因素是:商業機密。最初,文本規定公司不能援引商業機密以避免共享他們收集的數據,如果用戶要求,他們必須將這些數據傳達給其他公司。為什麼有這個規則? “公司經常將商業機密當作一張小丑牌來避免傳達某些訊息,立法者當然希望避免這種情況。»,Suzanne Vergnolle 強調。
但在最後的三場對話(歐盟委員會、理事會和歐洲議會的代表會議)中,報告稱情境,終於出現了例外。在以下情況下,資料持有者可以拒絕共享請求:商業機密,如果他們證明他們會遭受嚴重的經濟損失– 他們必須特別攜帶“客觀要素,特別是第三國商業機密保護的可執行性、所請求資料的保密性質和等級或產品的獨特性和新性質」。如何將這些要素付諸實踐還有待觀察。
一篇過於理論化而沒有實際解決方案的文本?
此外,將其付諸實踐的問題是本文的主要挑戰;我們採訪的所有專家在這一點上都是一致的。 “該規定對經濟經營者規定了義務,但在實踐中,沒有給出尊重它們的技術解決方案»,Pierre-Emmanuel Forgé 指定。 “但這將是機會為歐盟委員會,我們希望,進行製定資料互通性的真正標準,資料匿名化或假名化方法的真正標準,將允許,在實踐中,它們在運營商之間的流通和交流»,他補充道。
新規定將在生效 20 個月後生效——如果明年 11 月全體會議通過的話,最多在 2025 年 5 月生效。但需要更多時間才能了解“確切地說,本文將如何應用”,Suzanne Vergolle 警告說,喚起人們的視野「幾年。不幸的是,目前我們仍然堅持主要原則»,新增了數位法律專家。阿諾·拉蒂爾 (Arnaud Latil) 也有同樣的故事,對他來說“他的監管還具有監管未來十年數位行業的功能。它很重,但不應該立即發生。它由緩慢的輸注組成,如果我們可以使用這個表達」。在歐洲當局方面,一項艱鉅的教育和解釋工作正等待著他們。因為有必要以清晰和高效的方式成功取代「複雜、脫節、技術性、難以應用」……這是不可能的任務嗎?
