Interoperabilite : exigences techniques Data Act

L’interoperabilite constitue l’un des objectifs centraux du Data Act (reglement (UE) 2023/2854). Le chapitre VIII du reglement (articles 33 a 36) impose des exigences d’interoperabilite pour les donnees, les mecanismes de partage de donnees et les services de traitement de donnees (cloud). L’enjeu est de construire un ecosysteme dans lequel les donnees peuvent circuler librement entre les acteurs, sans barriere technique ni format proprietaire.

Pour les fabricants IoT, les fournisseurs cloud et les operateurs d’espaces de donnees, les exigences d’interoperabilite du Data Act imposent des choix techniques structurants en matiere de formats de donnees, d’API, de protocoles et de normes.

Le cadre legal de l’interoperabilite

Les trois niveaux d’interoperabilite

Le Data Act adresse l’interoperabilite a trois niveaux distincts :

L’interoperabilite des donnees : les donnees partagees entre acteurs doivent etre dans des formats structures, couramment utilises et lisibles par machine. Les modeles de donnees doivent etre documentes et, dans la mesure du possible, alignes sur des ontologies et vocabulaires communs.

L’interoperabilite des mecanismes de partage : les plateformes et outils de partage de donnees doivent utiliser des interfaces standardisees (API) permettant l’echange de donnees sans developpement specifique pour chaque paire d’acteurs.

L’interoperabilite des services cloud : les sous-traitants cloud doivent garantir que les donnees et actifs numeriques des clients peuvent etre portes vers d’autres fournisseurs sans perte d’information ni degradation.

Les specifications communes et normes harmonisees

L’article 33 du Data Act prevoit que la Commission europeenne peut adopter des specifications communes etablissant les exigences techniques d’interoperabilite. Ces specifications definissent les formats de donnees de reference, les modeles de donnees et ontologies, les protocoles de communication, et les specifications d’API.

En parallele, les organismes europeens de normalisation (CEN, CENELEC, ETSI) sont mandates pour elaborer des normes harmonisees couvrant les memes domaines. La conformite aux normes harmonisees confere une presomption de conformite aux exigences du reglement.

Les exigences techniques pour les donnees

Les formats de donnees

Le Data Act exige que les donnees soient mises a disposition dans des formats structures, couramment utilises et lisibles par machine. Concretement, cela signifie :

• Formats structures : les donnees doivent etre organisees selon un schema defini, permettant leur exploitation automatisee. Les formats binaires proprietaires sans documentation sont exclus.
• Formats couramment utilises : les formats doivent etre largement adoptes dans le secteur concerne. JSON, XML, CSV, Parquet, Apache Avro sont des exemples de formats repondant a ce critere.
• Lisible par machine : les donnees doivent etre exploitables par des logiciels sans intervention humaine.

Pour les fabricants IoT, cette exigence impose de standardiser les formats de sortie de leurs produits connectes des la phase de conception. Les formats proprietaires ne sont pas interdits pour le fonctionnement interne du produit, mais les donnees mises a disposition de l’utilisateur et des tiers doivent etre dans des formats ouverts et documentes.

Les modeles de donnees et ontologies

Le Data Act encourage l’adoption de modeles de donnees communs et d’ontologies partagees pour faciliter l’interoperabilite semantique. L’interoperabilite semantique garantit que les donnees sont interpretees de la meme maniere par differents systemes. Par exemple, un champ “temperature” mesure en Celsius par un fabricant et en Fahrenheit par un autre doit etre harmonise pour permettre l’interoperabilite.

Les initiatives europeennes en matiere de modeles de donnees (FIWARE Smart Data Models, ETSI NGSI-LD, W3C WoT) constituent des references pour la structuration des donnees IoT. Le Data Act prevoit que les specifications communes pourront imposer l’utilisation de modeles de donnees specifiques par secteur.

Les metadonnees

Les donnees partagees doivent etre accompagnees de metadonnees suffisantes pour permettre leur exploitation : description du contenu, format, unites de mesure, frequence de mise a jour, source, date de generation. Ces metadonnees doivent elles-memes etre dans un format standardise.

Les exigences techniques pour les API

Les specifications d’API

Les API (Application Programming Interfaces) constituent le mecanisme technique principal pour le partage de donnees et l’interoperabilite entre services. Le Data Act impose que les API soient documentees de maniere claire et complete, accessibles sans restriction disproportionnee, conformes aux standards techniques reconnus (REST, GraphQL, gRPC), et securisees (authentification, chiffrement, controle d’acces).

Les specifications d’API doivent inclure la description des endpoints disponibles, les formats de requete et de reponse, les schemas de donnees, les mecanismes d’authentification, les limitations de debit et de volume, la gestion des erreurs, et la politique de versionnement.

Les standards d’API

Les normes harmonisees et specifications communes pourront imposer l’utilisation de standards d’API specifiques par secteur. L’initiative europeenne GAIA-X et les espaces de donnees sectoriels (Catena-X pour l’automobile, EHDS pour la sante) definissent des standards d’API de reference.

Pour les fournisseurs cloud, les API doivent etre suffisamment standardisees pour permettre la portabilite des donnees cloud vers d’autres fournisseurs sans developpement specifique.

Les exigences pour les services cloud

L’interoperabilite entre services cloud

Le chapitre VI du Data Act impose aux fournisseurs de services cloud des exigences d’interoperabilite specifiques visant a eliminer les barrieres techniques au changement de fournisseur. Le fournisseur doit garantir l’export des donnees et actifs numeriques dans des formats exploitables par d’autres services, la compatibilite des API avec les standards du secteur, la transparence sur les specifications techniques proprietaires, et la documentation des dependances et des contraintes de migration.

Les specifications communes pour le cloud

L’article 35 du Data Act prevoit que la Commission peut adopter des specifications communes pour l’interoperabilite des services cloud, couvrant les formats d’export des donnees et des configurations, les API de gestion des ressources cloud, les formats de description des services (SLA, specifications techniques), et les protocoles de migration entre fournisseurs.

L’articulation avec les espaces de donnees europeens

La strategie europeenne des espaces de donnees

Le Data Act s’inscrit dans la strategie europeenne des donnees, qui prevoit la creation d’espaces de donnees sectoriels (sante, mobilite, agriculture, energie, finances, administration publique). Ces espaces de donnees reposent sur des infrastructures techniques communes garantissant l’interoperabilite entre les participants.

Les exigences d’interoperabilite du Data Act constituent le socle reglementaire sur lequel ces espaces de donnees sont construits. Les normes techniques adoptees dans le cadre du Data Act s’appliqueront aux participants des espaces de donnees.

L’articulation avec le Data Governance Act

Le Data Governance Act (reglement (UE) 2022/868), applicable depuis septembre 2023, cree le cadre de gouvernance des espaces de donnees. Le Data Act complete ce cadre avec les exigences techniques d’interoperabilite. Les deux textes sont complementaires : le Data Governance Act definit les regles de gouvernance, le Data Act definit les regles techniques.

Les obligations pour les fabricants et fournisseurs

Les obligations des fabricants IoT

Les fabricants d’objets connectes doivent concevoir leurs produits en integrant les exigences d’interoperabilite des la phase de conception, utiliser des formats de donnees ouverts et documentes, implementer des API conformes aux standards, publier la documentation technique des interfaces de donnees, et tester l’interoperabilite avec les principaux systemes du marche.

Ces obligations s’articulent avec les exigences du CRA en matiere de securite des interfaces et les exigences du RGPD en matiere de protection des donnees personnelles.

Les obligations des fournisseurs cloud

Les fournisseurs cloud doivent garantir l’export des donnees dans des formats standards et ouverts, mettre a disposition des API documentees et interoperables, supporter les processus de migration standardises, publier les specifications techniques de leurs services, et participer aux travaux de normalisation le cas echeant.

Les defis techniques de l’interoperabilite

La complexite des ecosystemes

L’interoperabilite parfaite entre des milliers de fabricants, de fournisseurs cloud et de plateformes de donnees reste un defi technique considerable. Les differences d’architecture, de modeles de donnees et de pratiques entre les acteurs rendent l’harmonisation complexe. Les normes et specifications communes devront trouver un equilibre entre la standardisation (necessaire pour l’interoperabilite) et la flexibilite (necessaire pour l’innovation).

La securite

L’ouverture des interfaces et le partage de donnees creent des surfaces d’attaque supplementaires. Les exigences d’interoperabilite doivent etre conciliees avec les exigences de securite du CRA et du RGPD. Les API doivent etre protegees contre les acces non autorises, les attaques par deni de service et les fuites de donnees.

Les recommandations de l’ANSSI et les normes de securite des API (OWASP API Security) constituent des references essentielles pour la mise en oeuvre securisee de l’interoperabilite.

FAQ

Quels formats de donnees sont acceptables au regard du Data Act ?

Le Data Act n’impose pas de format specifique. Il exige que les donnees soient dans un format “structure, couramment utilise et lisible par machine”. Les formats repondant a ces criteres incluent JSON, XML, CSV, Parquet, Apache Avro et d’autres formats ouverts largement adoptes. Les specifications communes et normes harmonisees pourront preciser les formats de reference par secteur. Les formats proprietaires non documentes ne satisfont pas aux exigences du reglement.

Les fabricants IoT doivent-ils implementer des API standardisees ?

Le Data Act exige que les donnees soient accessibles de maniere aisee et dans un format interoperable. L’implementation d’API conformes aux standards reconnus (REST, par exemple) constitue le moyen le plus courant de satisfaire cette exigence. Les normes harmonisees et specifications communes pourront preciser les standards d’API applicables par secteur. En l’absence de norme specifique, le fabricant doit s’assurer que ses interfaces sont documentees, accessibles et compatibles avec les pratiques du marche.

Les exigences d’interoperabilite s’appliquent-elles aux donnees personnelles ?

Oui. Les exigences d’interoperabilite du Data Act s’appliquent a toutes les donnees, y compris les donnees personnelles. Toutefois, le partage de donnees personnelles reste soumis au RGPD. L’interoperabilite technique ne dispense pas du respect des bases legales, des droits des personnes et des mesures de securite imposees par le RGPD. Les mecanismes d’interoperabilite doivent integrer les controles d’acces et les mesures de protection des donnees personnelles des leur conception, conformement au principe de protection des donnees des la conception (article 25 du RGPD).