Le 28 juin, le Conseil européen et le Parlement sont parvenus à un consensus politique sur la loi sur les données, ce qui rapproche la législation relative aux données non personnelles de sa concrétisation.
Thierry Breton, commissaire européen chargé du marché intérieur, a décrit l'accord dans un message publié sur X comme une « étape importante dans le remodelage de l'espace numérique ».
Another deal!
— Thierry Breton (@ThierryBreton) June 27, 2023
⁰Tonight’s agreement on the #DataAct is a milestone in reshaping the digital space.
Thanks to the swift work of the EP @delcastillop & the Council Presidency, we are on the way of a thriving data economy that is innovative & open — on our conditions. pic.twitter.com/vTWUU8xTx9
La loi sur les données complète la loi sur la gouvernance des données de novembre 2020 en précisant qui peut créer de la valeur à partir des données et dans quelles conditions. Elle découle de la stratégie européenne pour les données, annoncée en février 2020, qui vise également à positionner l'UE en tant que précurseur en matière de réglementation à l'ère de la société fondée sur les données.
La loi sur les données fait partie de la stratégie plus large de la Commission européenne en matière de données, qui vise à faire de l'Europe un leader mondial dans l'économie agile fondée sur les données. En termes simples, la loi sur les données propose de nouvelles règles concernant l'accès et l'utilisation des données générées dans l'UE dans tous les secteurs économiques.
Pour que la loi sur les données devienne une loi, elle doit être approuvée par un vote du Parlement européen et du Conseil, qui représentent les 27 États membres de l'Union européenne. Une fois de plus, comme dans le cas de la réglementation sur les marchés des actifs crypto (MiCA), le secteur des cryptomonnaies est confronté à un défi de taille. Le problème soulevé par la nouvelle loi européenne sur les données pourrait modifier de façon permanente l'utilisation des smart contracts dans l'Espace économique européen (EEE) - et pas pour le meilleur.
Le « mécanisme de désactivation » des smart contracts
La communauté de la blockchain est largement préoccupée par une disposition de la loi sur les données, à savoir que les accords de partage de données automatisés contiennent un « mécanisme de désactivation » par lequel ils pourraient être résiliés ou interrompus en cas de violation de la sécurité.
De nombreux experts en blockchain soutiennent que la définition actuelle des smart contracts dans la loi sur les données est large, craignant qu'elle n'entraîne des conséquences involontaires pour les smart contracts existants sur les blockchains publiques. Par exemple, le texte de la future loi ne fait pas de distinction entre les contrats numériques et les smart contracts utilisant la technologie du grand livre distribué.
Mais surtout, la loi sur les données n'est pas censée donner des détails clairs sur les conditions dans lesquelles une résiliation sûre ou une désactivation devrait se produire, et il est difficile de prédire les résultats potentiels avec un degré de certitude plus élevé. L'architecture des smart contracts ne permet souvent pas la résiliation ou l'interruption, car la technologie blockchain est réputée pour être immuable et irréversible.
La loi sur les données ne dit pas non plus ce qu'est exactement un « accord de partage de données », et elle n'explique pas si les smart contracts actuellement omniprésents dans les applications Web3 respectent ce type d'accords.
« De par leur conception, la plupart des smart contracts n'offrent pas de fonction de résiliation ou d'interruption et sont souvent non évolutifs pour garantir des niveaux de protection plus élevés contre les comportements abusifs. », a déclaré Marina Markežič, directrice exécutive et cofondatrice de European Crypto Initiative, à Cointelegraph.
« Le fait que les smart contracts manquent de telles caractéristiques met en péril leur utilisation et leur développement. Ils peuvent être perçus comme incompatibles avec les exigences réglementaires. »
« Le problème se pose si le champ d'application de l'article 30 devait être étendu au-delà de l'application des smart contracts dans ce contexte étroitement défini, et sur des réseaux publics sans permission. Il devient non seulement problématique, mais presque impossible pour de tels protocoles de se conformer. », a-t-il déclaré.
Selon Voloder, une autre préoccupation est de savoir si ces règles pourraient s'étendre à la finance décentralisée (DeFi). « Comme nous n'avons pas de règlement sur la finance décentralisée, c'est une question à laquelle il faudra répondre au cours des 18 prochains mois, lorsque la Commission européenne préparera sa position sur la finance décentralisée. »
En outre, les mécanismes de désactivation peuvent comporter des défauts dus à des erreurs humaines et, dans les smart contracts en général, « car il s'agit d'environnements d'information rigides et délimités ». Cette rigidité, ainsi qu'une fonction automatique qui déclenche un certain résultat suivant des règles strictes, pourraient entraîner des problèmes tels que le blocage des actifs, l'arrêt des protocoles ou même la perte de fonds et de données importantes, a déclaré M. Voloder.
De nombreuses incertitudes
La loi sur les données comporte des règles pour les vendeurs d'une application utilisant des smart contracts, ou pour les personnes dont l'activité consiste à déployer des smart contracts.
Selon Markežič, la loi sur les données pourrait inciter ces vendeurs et ces personnes chargées du déploiement à être plus prudents et à se demander si leurs smart contracts contiennent d'une manière ou d'une autre un accord de partage de données. Les applications pourraient devoir modifier leur mode de fonctionnement pour se conformer à ces règles si leurs smart contracts partagent des données.
Mais avant tout, il est crucial de déterminer qui précisément est tenu de respecter ces règles, a déclaré Markežič.
Erwin Voloder, responsable de la politique à l'European Blockchain Association, a déclaré à Cointelegraph que l'article 30 de la loi sur les données s'applique lorsque les parties conviennent de partager des données à l'aide d'un smart contract, et que ce contrat suit les règles. Cela devrait aller si ce n'est que pour cette situation, en particulier lorsqu'il est utilisé sur un réseau contrôlé où l'arrêt de sécurité de la loi sur les données peut être utilisé.
« La réglementation vise-t-elle même les plateformes et les protocoles DeFi ? [...] Il faudrait clarifier dans quelles circonstances le 'contrôle d'accès' est fourni, quoi, qui, pourquoi et comment la mesure de 'résiliation ou d'interruption sûre' est déclenchée et comment les protocoles empêchent d'autres comportements abusifs de leur part. »
Markežič a déclaré que, dans le passé, certains changements et résiliations ont été effectués sur une couche de protocole dans le cadre des mécanismes de gouvernance globaux.
Un mécanisme de désactivation au niveau d'un smart contract pourrait regrouper les projets et les individus dans un point de défaillance unique, prescrit par les régulateurs.
Il est donc essentiel que les régulateurs précisent qui a le pouvoir d'utiliser ce mécanisme.
La communauté crypto mondiale réagit
La communauté crypto a déjà proposé des solutions alternatives pour apporter plus de clarté juridique aux smart contracts.
En avril 2023, Polygon avait déjà rédigé une lettre ouverte suggérant comment améliorer l'article 30, affirmant que les législateurs pourraient appliquer ces règles uniquement aux entreprises, en excluant les logiciels et les développeurs, et en précisant que les smart contracts ne sont pas des « accords » en soi.
Plus récemment, l'European Crypto Initiative et de nombreuses organisations, telles que Stellar, Iota, Polygon, Near, Coinbase, Cardano et ConsenSys, ont signé une lettre ouverte exprimant leurs préoccupations concernant la loi sur les données et appelant les législateurs à reconsidérer et à clarifier certains aspects.
We called on lawmakers to reconsider and clarify certain aspects of the #DataAct in our Open Letter, written with other 5 organisations and 55 signatories ✉️https://t.co/37IrdSsFXC
— European Crypto Initiative (@EuCInitiative) August 8, 2023
Ils ont fait valoir que la loi sur les données pourrait potentiellement entrer en conflit avec le règlement MiCA récemment adopté. Ce dernier, qui entrera en vigueur en 2024, prévoit une licence pour les exchanges de cryptomonnaies et les fournisseurs de portefeuilles afin qu'ils puissent opérer dans toute l'UE.
Plus de mal que de bien ?
Le trilogue sur la loi sur les données s'est achevé, ce qui signifie que le texte a atteint sa version finale et qu'il est probable qu'il soit promulgué sous sa forme actuelle.
La prochaine étape importante pour la communauté est de travailler en étroite collaboration avec les groupes de normalisation européens. Ces groupes sont chargés de créer les normes que les vendeurs et les développeurs de smart contracts doivent respecter lorsqu'ils concluent des accords de partage de données, d'autant plus que ces vendeurs devront s'assurer que leurs smart contracts s'alignent largement sur le champ d'application de l'article 30.
Selon Voloder, si la loi sur les données est étendue aux réseaux publics, cela pourrait signifier que les entreprises quittent l'UE, dans le pire des cas, et « qu'elles soient par ailleurs cataloguées dans une trajectoire de développement étroite des smart contracts dans le meilleur des cas ».
« Il en résulte une fuite des capitaux, une innovation étouffée et une industrie de la blockchain qui bat de l'aile en Europe. À un moment où l'Europe est à l'avant-garde de la réglementation, le timing d'un tel résultat serait des plus inopportuns. »