À l’heure où les entreprises se retrouvent confrontées à un réel dilemme entre l’injonction à l’ouverture des données et la nécessité de préserver la confidentialité de leurs informations sensibles, le Data Act entend instaurer un cadre juridique visant à concilier ces impératifs contradictoires, au risque toutefois de laisser subsister certaines zones d’ombre.Un désir de libérer les données à travers le Data Act (Règlement (UE) 2023/2854) :Le Data Act également appelé « règlement sur les données », est une législation européenne visant à encadrer l’accès, le partage et l’utilisation des données, plus précisément celles générées par les objets connectés et les services numériques. Ce règlement est entré en vigueur le 11 janvier 2024 et est applicable dans l’ensemble des Etats membres depuis le 12 septembre 2025.Ce règlement a pour objectif de stimuler l’économie des données dans l’Union européenne en imposant aux fabricants d’objets connectés et aux fournisseurs de services associés des obligations de partage des données générées. Il vise à garantir un accès et une utilisation équitable de ces données, tout en préservant les intérêts des entreprises, notamment en matière de secrets d’affaires.Nul n’est sans savoir que, les produits connectés à Internet se sont largement répandus sur le marché européen ces dernières années, favorisant la croissance de l’Internet des objets (IoT) et générant par conséquent une hausse du volume de données réutilisables.Cette évolution permet d’entrevoir de nouvelles opportunités en matière d’innovation et de compétitivité pour l’UE.Dans ce contexte, le Data Act a pour but d’offrir aux utilisateurs de ces produits, qu’ils soient des personnes physiques ou morales, un contrôle optimal des données qu’ils produisent.Par ailleurs, le Data Act entend renforcer l’équité et la concurrence au sein du marché européen des données tout en veillant à protéger les entreprises face aux clauses contractuelles abusives, dictées par les acteurs dominants.Le Data Act met aussi en place un mécanisme par lequel les organismes du secteur public sont en mesure de demander des données à une entreprise en cas de besoin exceptionnel, par exemple dans des situations d’urgence publique, telles que définies dans le Règlement. En outre, des garanties sont instaurées afin de bloquer l’accès illégal à des données non personnelles par des gouvernements de pays tiers, dans la mesure où cela constituerait une violation du droit européen ou du droit national.Dans le contexte du Data Act, la notion de « fair access » est centrale, car ce terme correspond à un accès équitable, non discriminatoire, transparent aux données générées par les utilisateurs. Or, même s’il constitue un levier d’innovation et d’ouverture, il fait également peser un risque réel pour la sécurité des informations sensibles des entreprises.Cette dynamique de partage entre brutalement en conflit avec le cœur névralgique de la compétitivité des entreprises, à savoir : la nécessité de préserver la confidentialité.La protection du secret d’affaires mise à l'épreuve :Au Luxembourg, la protection des secrets d’affaires est régie par la loi du 26 juin 2019, entrée en vigueur le 2 juillet 2019 dans le cadre de la transposition de la directive (UE) 2016/943. À la lumière de cette loi, une information est considérée comme un secret d’affaires dans la mesure où elle est :- Secrète (non connue ou accessible facilement) ;- Dotée d’une valeur commerciale du fait de son caractère secret ;- Protégée par des mesures raisonnables de confidentialité.Ces trois critères sont cumulatifs, du moment qu’ils sont réunis, la confidentialité demeure ; cette protection n’a donc pas de limitation dans le temps.Afin d’être les plus compétitives possible et de conserver un avantage concurrentiel, les entreprises investissent de manière significative dans l’acquisition, le développement et l’exploitation de leur savoir-faire, lequel est protégé au même titre que les secrets de fabrication et les informations confidentielles présentant une valeur commerciale.Les secrets d’affaires ne font pas toujours l’objet d’une protection par des droits de propriété intellectuelle. Le problème étant qu’ils peuvent avoir une valeur économique prépondérante et être primordiaux pour l’innovation et la compétitivité des entreprises.Dans une économie mondialisée, caractérisée par l’externalisation et la sous-traitance, l’emploi croissant des technologies de l’information et de la communication, il est constaté une hausse du danger d’appropriation illicite de secrets d’affaires. Cette hausse entraîne un besoin de consolider la protection juridique accordée à ces secrets.Partant, cette législation vient apporter une réelle amélioration à la situation des détenteurs de secrets d’affaires mais il faut savoir qu’il s’avère complexe d’établir la preuve d’une obtention, utilisation ou divulgation illicite et d’ôter tous les effets négatifs d’une divulgation illicite. Les entreprises doivent donc anticiper et protéger contractuellement leurs secrets d’affaires via des clauses de confidentialité par exemple.Partant de ce constat, le régime juridique encadrant les secrets d’affaires reste incertain et perfectible, notamment au regard des obligations de partage de données qui risquent d’amplifier la fragilité de ce régime.La nécessité de clarifier le Data Act :Les obligations issues du Data Act peuvent entrer en collision avec la protection qui entoure les secrets d’affaires. C’est pourquoi, il est primordial de fournir des clarifications et protections supplémentaires.Le Data Act intègre ce que certains commentateurs appellent le « trade secrets handbrake » prévoyant une limitation de l’obligation de partage de données lorsqu’il est question d’informations confidentielles. En pratique, cette clause opère comme une procédure difficile à mettre en œuvre, compromettant la protection des secrets d’affaires.En ce sens, la doctrine propose d’amender le texte afin de créer une exemption qui permettrait de protéger plus efficacement les données sensibles.Au sein du Data Act, on retrouve la notion de related services qui n’est pas clairement définie, ce qui pourrait mener à une interprétation large, intégrant des logiciels non essentiels. Or, une telle interprétation n’est pas souhaitable, il paraît donc important d’apporter une précision via un amendement Omnibus ou une ligne directrice officielle restreignant les « related services » aux seuls logiciels strictement nécessaires au fonctionnement du produit.De cette manière, la protection des secrets d’affaires se trouverait renforcée puisque les obligations de partage de données seraient imposées aux logiciels absolument nécessaires, ayant le mérite d’apporter de la clarté aux entreprises et une meilleure sécurité juridique.Les entreprises au centre d’une contradiction juridique :La contradiction principale réside dans le fait que le Data Act instaure des impératifs d’ouverture alors que le secret d’affaires recherche la protection de la confidentialité. Les entreprises se retrouvent dans une position incertaine et déséquilibrée dans le sens qu’elles doivent partager, innover tout en protégeant leurs données. Ce paradoxe juridique pourrait dissuader les entreprises d’innover. En effet, les entreprises manifestent une réserve à investir dès lors que la sécurité de leurs données stratégiques et économiques n’est pas garantie. Tout cela place les PME dans une situation critique, car elles disposent de moyens juridiques, techniques et financiers limités pour se protéger. Le Data Act, malgré ses intentions honorables, pourrait affaiblir la compétitivité des entreprises européennes s’il néglige la nécessité de protéger les secrets d’affaires. La transparence ne doit pas se faire au prix de la vulnérabilité.
27
Oct 2025
par Maître Sabrina Martin