Le Data Act1 fournit un socle de règles harmonisées en matière de données, personnelles et non personnelles, traitées par des produits connectés2 et leurs services connexes. Encadrant ainsi le grand marché de la data en Europe, le Data Act, qui régule les accords de partage de données automatisés, contient des dispositions cardinales en matière de smart contracts, notamment en ses articles 11 et 36. Adopté le 13 décembre 2023, le Data Act est entré en vigueur le 11 janvier 2024. Par suite, la Commission européenne pourra définir des standards matière de conformité des smart contracts.
Un champ d’application très large
Le Data Act s’applique aux produits connectés à internet ou via une application, tous secteurs confondus : grande consommation, économie, santé, agriculture ou encore industrie etc. Les produits collectent en effet des data notamment via des capteurs. Les datas peuvent ensuite être communiquées et utilisées de manière plus fluide / sécurisée (ex : services après-vente).
Le Data Act concerne donc la mise à disposition de données relatives au produit et de données relatives au service connexe au profit de l’utilisateur du produit connecté ou du service connexe :
- Produit connecté = un objet qui obtient, génère ou recueille des données concernant son utilisation ou son environnement, qui est en mesure de communiquer des données relatives au produit par l’intermédiaire d’un service de communications électroniques, d’une connexion physique ou d’un dispositif d’accès intégré et dont la fonction première n’est pas de stocker, de traiter ou de transmettre des données pour le compte de toute partie autre que l’utilisateur
- Service connexe = un service numérique, autre qu’un service de communications électroniques, y compris un logiciel, qui est connecté au produit au moment de l’achat, ou de la mise en location ou en crédit-bail, de telle sorte que son absence empêcherait le produit connecté d’exécuter une ou plusieurs de ses fonctions, ou qui est ensuite connecté au produit par le fabricant ou un tiers pour ajouter, mettre à jour ou adapter les fonctions du produit connecté
Une définition claire des smart contracts
En vertu du Data Act, un contrat intelligent est un programme informatique utilisé pour l’exécution automatique d’un accord ou d’une partie de celui-ci, utilisant une séquence d’enregistrements de données électroniques et garantissant leur intégrité et l’exactitude de leur ordre chronologique.
Les smart contracts, mesures techniques d’encadrement
Selon le Data Act, les smart contracts constituent une des mesures techniques appropriées que le détenteur des données peut appliquer pour empêcher tout accès non autorisé aux données et pour garantir le respect des conditions contractuelles convenues pour la mise à disposition des données.
Ces mesures ne doivent pas entraver l’exercice des droits reconnus aux utilisateurs notamment à des fins d’interopérabilité et de portabilité des données.
L’élaboration des smart contracts doit ainsi tenir compte des contraintes d’accès et de mise à disposition des données.
Ces contraintes résultent des accords contractuels entre les détenteurs de données et les utilisateurs (et des dispositions du Data Act applicables).
D’autres principes juridiques peuvent s’appliquer, s’agissant de la protection des données personnelles, ou de normes sectorielles (par exemple la réglementation en matière bancaire ou assurantielle).
Le smart contract est ainsi comme un programme informatique encadré par des contraintes contractuelles et réglementaires.
Accords de partage de données : exigences essentielles et smart contracts
En vertu du Data Act, le vendeur d’une application impliquant des smart contracts ou, à défaut, la personne dont l’activité commerciale, l’entreprise ou la profession nécessite le déploiement de smart contracts pour des tiers dans le cadre de l’exécution d’un accord ou d’une partie d’un accord de mise à disposition des données, doit veiller à ce que ces smart contracts respectent des exigences essentielles.
Ces exigences essentielles sont :
Les smart contracts (concernés par le Data Act) doivent respecter cinq exigences essentielles | Dessein de l’exigence essentielle concernée |
Robustesse | Veiller à ce que le smart contract ait été conçu de manière à offrir des mécanismes de contrôle d’accès et un degré très élevé de robustesse afin d’éviter des erreurs fonctionnelles et de résister aux tentatives de manipulation par des tiers |
Résiliation et interruption en toute sécurité | Veiller à ce qu’il existe un mécanisme permettant de mettre fin à l’exécution continue des transactions et à ce que le smart contract intègre des fonctions internes qui peuvent réinitialiser le contrat ou lui donner instruction de cesser ou d’interrompre l’opération, en particulier pour éviter de futures exécutions accidentelles |
Archivage et continuité des données | Garantir, dans les circonstances dans lesquelles un smart contract doit être résilié ou désactivé, qu’il y a la possibilité d’archiver les données relatives aux transactions, la logique et le code du smart contract afin de conserver l’enregistrement des opérations effectuées sur les données dans le passé (vérifiabilité) |
Contrôle de l’accès | Garantir qu’un smart contract est protégé par des mécanismes rigoureux de contrôle d’accès au niveau de la gouvernance et des smart contracts |
Cohérence | Assurer la cohérence avec les dispositions de l’accord de partage de données que le smart contract exécute |
De même, et toujours selon le Data Act, le vendeur d’un smart contract ou, à défaut, la personne dont l’activité commerciale, l’entreprise ou la profession nécessite le déploiement de smart contracts pour des tiers dans le cadre de l’exécution d’un accord ou d’une partie d’un accord de mise à disposition des données, doit procéder à une évaluation de la conformité en vue de satisfaire aux exigences essentielles et, en ce qui concerne le respect de ces exigences. Une déclaration UE de conformité doit être délivrée.
1. Règlement (UE) 2023/2854 du Parlement européen et du Conseil du 13 décembre 2023 concernant des règles harmonisées portant sur l’équité de l’accès aux données et de l’utilisation des données et modifiant le règlement (UE) 2017/2394 et la directive (UE) 2020/1828 (règlement sur les données) (Texte présentant de l’intérêt pour l’EEE) plus communément appelé DATA ACT 2. ioT : voitures / tv / appareils domestiques / capteurs / etc.
Ping : Le Data Act et les smart contracts, un cadre réglementaire essentiel pour l’écosystème européen de la data – The News Dispatch