Interopérabilité : exigences techniques Data Act

L’interopérabilité constitue l’un des objectifs centraux du Data Act (règlement (UE) 2023/2854). Le chapitre VIII du règlement (articles 33 à 36) impose des exigences d’interopérabilité pour les données, les mécanismes de partagé de données et les services de traitement de données (cloud). L’enjeu est de construire un écosystème dans lequel les données peuvent circuler librement entre les acteurs, sans barrière technique ni format propriétaire.

Pour les fabricants IoT, les fournisseurs cloud et les opérateurs d’espaces de données, les exigences d’interopérabilité du Data Act imposent des choix techniques structurants en matière de formats de données, d’API, de protocoles et de normes.

Le cadre légal de l’interopérabilité

Les trois niveaux d’interopérabilité

Le Data Act adresse l’interopérabilité a trois niveaux distincts :

L’interopérabilité des données : les données partagées entre acteurs doivent être dans des formats structurés, couramment utilisés et lisibles par machine. Les modèles de données doivent être documentés et, dans la mesure du possible, alignes sur des ontologies et vocabulaires communs.

L’interopérabilité des mécanismes de partagé : les plateformes et outils de partagé de données doivent utiliser des interfaces standardisées (API) permettant l’échange de données sans développement spécifique pour chaque paire d’acteurs.

L’interopérabilité des services cloud : les sous-traitants cloud doivent garantir que les données et actifs numériques des clients peuvent être portes vers d’autres fournisseurs sans perte d’information ni dégradation.

Les spécifications communes et normes harmonisées

L’article 33 du Data Act prévoit que la Commission européenne peut adopter des spécifications communes établissant les exigences techniques d’interopérabilité. Ces spécifications définissent les formats de données de référence, les modèles de données et ontologies, les protocoles de communication, et les spécifications d’API.

En parallèle, les organismes européens de normalisation (CEN, CENELEC, ETSI) sont mandates pour élaborer des normes harmonisées couvrant les mêmes domaines. La conformité aux normes harmonisées confère une présomption de conformité aux exigences du règlement.

Les exigences techniques pour les données

Les formats de données

Le Data Act exige que les données soient mises à disposition dans des formats structurés, couramment utilisés et lisibles par machine. Concrètement, cela signifie :

• Formats structurés : les données doivent être organisées selon un schéma défini, permettant leur exploitation automatisée. Les formats binaires propriétaires sans documentation sont exclus.
• Formats couramment utilisés : les formats doivent être largement adoptés dans le secteur concerné. JSON, XML, CSV, Parquet, Apache Avro sont des exemples de formats répondant à ce critère.
• Lisible par machine : les données doivent être exploitables par des logiciels sans intervention humaine.

Pour les fabricants IoT, cette exigence impose de standardiser les formats de sortie de leurs produits connectés des la phase de conception. Les formats propriétaires ne sont pas interdits pour le fonctionnement interne du produit, mais les données mises à disposition de l’utilisateur et des tiers doivent être dans des formats ouverts et documentés.

Les modèles de données et ontologies

Le Data Act encourage l’adoption de modèles de données communs et d’ontologies partagées pour faciliter l’interopérabilité semantique. L’interopérabilité semantique garantit que les données sont interpretees de la même manière par différents systèmes. Par exemple, un champ “température” mesure en Celsius par un fabricant et en Fahrenheit par un autre doit être harmonisé pour permettre l’interopérabilité.

Les initiatives européennes en matière de modèles de données (FIWARE Smart Data Models, ETSI NGSI-LD, W3C WoT) constituent des références pour la structuration des données IoT. Le Data Act prévoit que les spécifications communes pourront imposer l’utilisation de modèles de données spécifiques par secteur.

Les metadonnees

Les données partagées doivent être accompagnées de metadonnees suffisantes pour permettre leur exploitation : description du contenu, format, unites de mesure, fréquence de mise à jour, source, date de génération. Ces metadonnees doivent elles-mêmes être dans un format standardise.

Les exigences techniques pour les API

Les spécifications d’API

Les API (Application Programming Interfaces) constituent le mécanisme technique principal pour le partagé de données et l’interopérabilité entre services. Le Data Act impose que les API soient documentées de manière claire et complète, accessibles sans restriction disproportionnée, conformes aux standards techniques reconnus (REST, GraphQL, gRPC), et sécurisées (authentification, chiffrement, contrôle d’accès).

Les spécifications d’API doivent inclure la description des endpoints disponibles, les formats de requête et de réponse, les schémas de données, les mécanismes d’authentification, les limitations de debit et de volume, la gestion des erreurs, et la politique de versionnement.

Les standards d’API

Les normes harmonisées et spécifications communes pourront imposer l’utilisation de standards d’API spécifiques par secteur. L’initiative européenne GAIA-X et les espaces de données sectoriels (Catena-X pour l’automobile, EHDS pour la santé) définissent des standards d’API de référence.

Pour les fournisseurs cloud, les API doivent être suffisamment standardisées pour permettre la portabilité des données cloud vers d’autres fournisseurs sans développement spécifique.

Les exigences pour les services cloud

L’interopérabilité entre services cloud

Le chapitre VI du Data Act impose aux fournisseurs de services cloud des exigences d’interopérabilité spécifiques visant à éliminer les barrières techniques au changement de fournisseur. Le fournisseur doit garantir l’export des données et actifs numériques dans des formats exploitables par d’autres services, la compatibilité des API avec les standards du secteur, la transparence sur les spécifications techniques propriétaires, et la documentation des dépendances et des contraintes de migration.

Les spécifications communes pour le cloud

L’article 35 du Data Act prévoit que la Commission peut adopter des spécifications communes pour l’interopérabilité des services cloud, couvrant les formats d’export des données et des configurations, les API de gestion des ressources cloud, les formats de description des services (SLA, spécifications techniques), et les protocoles de migration entre fournisseurs.

L’articulation avec les espaces de données européens

La stratégie européenne des espaces de données

Le Data Act s’inscrit dans la stratégie européenne des données, qui prévoit la création d’espaces de données sectoriels (santé, mobilite, agriculture, énergie, finances, administration publique). Ces espaces de données reposent sur des infrastructures techniques communes garantissant l’interopérabilité entre les participants.

Les exigences d’interopérabilité du Data Act constituent le socle réglementaire sur lequel ces espaces de données sont construits. Les normes techniques adoptées dans le cadre du Data Act s’appliqueront aux participants des espaces de données.

L’articulation avec le Data Governance Act

Le Data Governance Act (règlement (UE) 2022/868), applicable depuis septembre 2023, crée le cadre de gouvernance des espaces de données. Le Data Act complète ce cadre avec les exigences techniques d’interopérabilité. Les deux textes sont complémentaires : le Data Governance Act définit les règles de gouvernance, le Data Act définit les règles techniques.

Les obligations pour les fabricants et fournisseurs

Les obligations des fabricants IoT

Les fabricants d’objets connectés doivent concevoir leurs produits en intégrant les exigences d’interopérabilité des la phase de conception, utiliser des formats de données ouverts et documentés, implémenter des API conformes aux standards, publier la documentation technique des interfaces de données, et tester l’interopérabilité avec les principaux systèmes du marché.

Ces obligations s’articulent avec les exigences du CRA en matière de sécurité des interfaces et les exigences du RGPD en matière de protection des données personnelles.

Les obligations des fournisseurs cloud

Les fournisseurs cloud doivent garantir l’export des données dans des formats standards et ouverts, mettre à disposition des API documentées et interopérables, supporter les processus de migration standardises, publier les spécifications techniques de leurs services, et participer aux travaux de normalisation le cas échéant.

Les défis techniques de l’interopérabilité

La complexité des écosystèmes

L’interopérabilité parfaite entre des milliers de fabricants, de fournisseurs cloud et de plateformes de données reste un défi technique considérable. Les différences d’architecture, de modèles de données et de pratiques entre les acteurs rendent l’harmonisation complexe. Les normes et spécifications communes devront trouver un équilibre entre la standardisation (nécessaire pour l’interopérabilité) et la flexibilité (nécessaire pour l’innovation).

La sécurité

L’ouverture des interfaces et le partagé de données créent des surfaces d’attaque supplémentaires. Les exigences d’interopérabilité doivent être conciliees avec les exigences de sécurité du CRA et du RGPD. Les API doivent être protégées contre les accès non autorisés, les attaques par déni de service et les fuites de données.

Les recommandations de l’ANSSI et les normes de sécurité des API (OWASP API Security) constituent des références essentielles pour la mise en oeuvre sécurisée de l’interopérabilité.

FAQ

Quels formats de données sont acceptables au regard du Data Act ?

Le Data Act n’impose pas de format spécifique. Il exige que les données soient dans un format “structuré, couramment utilise et lisible par machine”. Les formats répondant à ces critères incluent JSON, XML, CSV, Parquet, Apache Avro et d’autres formats ouverts largement adoptés. Les spécifications communes et normes harmonisées pourront préciser les formats de référence par secteur. Les formats propriétaires non documentés ne satisfont pas aux exigences du règlement.

Les fabricants IoT doivent-ils implémenter des API standardisées ?

Le Data Act exige que les données soient accessibles de manière aisée et dans un format interopérable. L’implémentation d’API conformes aux standards reconnus (REST, par exemple) constitue le moyen le plus courant de satisfaire cette exigence. Les normes harmonisées et spécifications communes pourront préciser les standards d’API applicables par secteur. En l’absence de norme spécifique, le fabricant doit s’assurer que ses interfaces sont documentées, accessibles et compatibles avec les pratiques du marché.

Les exigences d’interopérabilité s’appliquent-elles aux données personnelles ?

Oui. Les exigences d’interopérabilité du Data Act s’appliquent à toutes les données, y compris les données personnelles. Toutefois, le partagé de données personnelles reste soumis au RGPD. L’interopérabilité technique ne dispense pas du respect des bases légales, des droits des personnes et des mesures de sécurité imposées par le RGPD. Le droit à la portabilité des données au sens du RGPD constitue d’ailleurs un mécanisme complémentaire pour les données personnelles. Les mécanismes d’interopérabilité doivent intégrer les contrôles d’accès et les mesures de protection des données personnelles des leur conception, conformément au principe de protection des données des la conception (article 25 du RGPD).