keyboard_tab Data Act 2023/2854 FR
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Article 3 Obligation de rendre les données relatives aux produits et les données relatives aux services connexes accessibles à l'utilisateur
- 2 Article 4 Droits et obligations des utilisateurs et des détenteurs de données concernant l'accès aux données relatives au produit et aux données relatives au service connexe, leur utilisation et leur mise à disposition
- 1 Article 5 Droit de l'utilisateur de partager des données avec des tiers
- 1 Article 6 Obligations des tiers recevant des données à la demande de l'utilisateur
- 1 Article 17 Demandes de mise à disposition de données
- 1 Article 32 Accès et transfert internationaux par les autorités publiques
- 1 Article 33 Exigences essentielles concernant l'interopérabilité des données, des mécanismes et des services de partage des données ainsi que des espaces européens communs de données
- 2 Article 35 Interopérabilité des services de traitement de données
- 1 Article 49 Évaluation et réexamen
- Article 50 Entrée en vigueur et application
CHAPITRE I
DISPOSITIONS GENERALES
CHAPITRE II
PARTAGE DE DONNEES ENTRE ENTREPRISES ET CONSOMMATEURS ET ENTRE ENTREPRISES
CHAPITRE III
OBLIGATIONS APPLICABLES AUX DETENTEURS DE DONNEES TENUS DE METTRE DES DONNEES A DISPOSITION EN VERTU DU DROIT DE L'UNION
CHAPITRE IV
CLAUSES CONTRACTUELLES ABUSIVES RELATIVES A L'ACCES AUX DONNEES ET A L'UTILISATION DES DONNEES ENTRE ENTREPRISES
CHAPITRE V
MISE A LA DISPOSITION D'ORGANISMES DU SECTEUR PUBLIC, DE LA COMMISSION, DE LA BANQUE CENTRALE EUROPEENNE ET D'ORGANES DE L'UNION DE DONNEES SUR LE FONDEMENT D'UN BESOIN EXCEPTIONNEL
CHAPITRE VI
CHANGEMENT DE SERVICES DE TRAITEMENT DE DONNEES
CHAPITRE VII
ACCES INTERNATIONAL ILLICITE AUX DONNEES A CARACTERE NON PERSONNEL ET TRANSFERT INTERNATIONAL ILLICITE DE CES DONNEES PAR LES AUTORITES PUBLIQUES
CHAPITRE VIII
INTEROPERABILITE
CHAPITRE IX
MISE EN ŒUVRE ET EXECUTION
CHAPITRE X
DROIT SUI GENERIS PREVU PAR LA DIRECTIVE 96/9/CE
CHAPITRE XI
DISPOSITIONS FINALES
- données 284
- article 73
- détenteur 68
- utilisateur 61
- tiers 60
- dans 56
- sont 51
- présent 49
- pour 47
- paragraphe 44
- demande 36
- commission 36
- union 34
- avec 33
- peut 32
- services 32
- règlement 32
- accès 31
- conformément 28
- affaires 28
- secrets 26
- droit 26
- caractère 25
- disposition 24
- autorité 24
- traitement 24
- vertu 23
- article 23
- personnel 22
- paragraphe 21
- produit 21
- utilisation 21
- nécessaires 21
- lorsque 21
- exigences 20
- cette 20
- leur 20
- échéant 19
- interopérabilité 19
- décision 18
- ainsi 18
- normes 18
- manière 17
- autres 17
- prévues 17
- sans 16
- connecté 16
- exécution 16
- mesures 16
- partage 16
Article 3
Obligation de rendre les données relatives aux produits et les données relatives aux services connexes accessibles à l'utilisateur
1. Les produits connectés sont conçus et fabriqués, et les services connexes conçus et fournis, de telle sorte que les données relatives auxdits produits et les données relatives aux services connexes, y compris les métadonnées pertinentes nécessaires à l'interprétation et à l'utilisation de ces données, sont, par défaut, accessibles à l'utilisateur, de manière aisée, sécurisée, sans frais, dans un format complet, structuré, couramment utilisé et lisible par machine, et sont, lorsque cela est pertinent et techniquement possible, directement accessibles à l'utilisateur.
2. Avant la conclusion d'un contrat d'achat, de location ou de crédit-bail relatif à un produit connecté, le vendeur, le loueur ou le bailleur, qui peut être le fabricant, communique à l'utilisateur, de manière claire et compréhensible, au moins les informations suivantes:
| a) | le type, le format et le volume estimé des données relatives au produit que le produit connecté est capable de générer; |
| b) | si le produit connecté est capable de générer des données en continu et en temps réel; |
| c) | si le produit connecté est capable de stocker des données sur un dispositif intégré ou sur un serveur distant, y compris, le cas échéant, la durée de conservation prévue; |
| d) | la manière dont l'utilisateur peut accéder aux données, extraire les données ou, le cas échéant, les effacer, y compris les moyens techniques nécessaires pour ce faire, ainsi que leurs conditions d'utilisation et leur qualité de service. |
3. Avant la conclusion d'un contrat relatif à la fourniture d'un service connexe, le fournisseur d'un tel service connexe communique à l'utilisateur, de manière claire et compréhensible, au moins les informations suivantes:
| a) | la nature, le volume estimé et la fréquence de collecte des données relatives au produit que le détenteur de données potentiel devrait obtenir et, le cas échéant, les modalités selon lesquelles l'utilisateur peut accéder à ces données ou les extraire, y compris les modalités de stockage des données du détenteur de données potentiel et la durée de conservation; |
| b) | la nature et le volume estimé des données relatives aux services connexes à générer, ainsi que les modalités selon lesquelles l'utilisateur peut avoir accès à ces données ou les extraire, y compris les modalités de stockage des données du détenteur de données potentiel et la durée de conservation; |
| c) | si le détenteur de données potentiel a l'intention d'utiliser lui-même des données facilement accessibles et les finalités pour lesquelles ces données sont utilisées, et s'il a l'intention d'autoriser un ou plusieurs tiers à utiliser les données pour des finalités convenues avec l'utilisateur; |
| d) | l'identité du détenteur de données potentiel, telle que sa raison sociale et l'adresse géographique à laquelle il est établi et, le cas échéant, des autres parties au traitement de données; |
| e) | les moyens de communication qui permettent de contacter rapidement le détenteur de données potentiel et de communiquer efficacement avec lui; |
| f) | la manière dont l'utilisateur peut demander à ce que les données soient partagées avec un tiers et, le cas échéant, mettre un terme au partage des données; |
| g) | le droit de l'utilisateur d'introduire une réclamation pour infraction aux dispositions du présent chapitre auprès de l'autorité compétente désignée en vertu de l'article 37; |
| h) | si un détenteur de données potentiel est le détenteur de secrets d'affaires contenus dans les données qui sont accessibles à partir du produit connecté ou générées au cours de la fourniture d'un service connexe, et, lorsque le détenteur de données potentiel n'est pas le détenteur de secrets d'affaires, l'identité du détenteur de secrets d'affaires; |
| i) | la durée du contrat entre l'utilisateur et le détenteur de données potentiel, ainsi que les modalités de résiliation de ce contrat. |
Article 4
Droits et obligations des utilisateurs et des détenteurs de données concernant l'accès aux données relatives au produit et aux données relatives au service connexe, leur utilisation et leur mise à disposition
1. Lorsque l'utilisateur ne peut pas accéder directement à des données à partir du produit connecté ou du service connexe, les détenteurs de données rendent les données facilement accessibles, ainsi que les métadonnées pertinentes nécessaires à l'interprétation et à l'utilisation de ces données, accessibles à l'utilisateur sans retard injustifié, à un niveau de qualité identique à celui dont bénéficie le détenteur de données, de manière aisée, sécurisée, sans frais, dans un format complet, structuré, couramment utilisé et lisible par machine et, lorsque cela est pertinent et techniquement possible, en continu et en temps réel. À cet effet, une simple demande est envoyée par voie électronique lorsque cela est techniquement possible.
2. Les utilisateurs et les détenteurs de données peuvent contractuellement restreindre ou interdire l'accès aux données, leur utilisation ou leur partage ultérieur, si un tel traitement est susceptible de porter atteinte aux exigences de sécurité du produit connecté, telles qu'elles sont prévues par le droit de l'Union ou le droit national, entraînant de graves effets indésirables pour la santé, la sûreté ou la sécurité des personnes physiques. Les autorités sectorielles peuvent fournir aux utilisateurs et aux détenteurs de données une expertise technique dans ce contexte. Lorsque le détenteur de données refuse de partager des données en vertu du présent article, il adresse une notification à l'autorité compétente désignée conformément à l'article 37.
3. Sans préjudice du droit de l'utilisateur de demander réparation à tout moment devant une juridiction d'un État membre, l'utilisateur, dans le cadre de tout litige avec le détenteur de données concernant les restrictions ou interdictions contractuelles visées au paragraphe 2, peut:
| a) | introduire une réclamation auprès de l'autorité compétente conformément à l'article 37, paragraphe 5, point b); ou |
| b) | convenir avec le détenteur de données de porter la question devant un organe de règlement des litiges conformément à l'article 10, paragraphe 1. |
4. Les détenteurs de données ne rendent pas indûment difficile pour les utilisateurs le fait d'effectuer des choix ou d'exercer des droits prévus au présent article, y compris en offrant des choix à l'utilisateur d'une manière qui n'est pas neutre ou en réduisant ou en compromettant l'autonomie, la prise de décision ou le choix des utilisateurs au moyen de la structure, de la conception, de la fonction ou du mode de fonctionnement d'une interface numérique utilisateur ou d'une partie de celle-ci.
5. Afin de vérifier si une personne physique ou morale peut être considérée comme un utilisateur aux fins du paragraphe 1, un détenteur de données n'exige pas de ladite personne qu'elle fournisse d'autres informations que celles qui sont nécessaires. Les détenteurs de données ne conservent aucune autre information, en particulier aucune donnée de connexion, sur l'accès de l'utilisateur aux données demandées que celles qui sont nécessaires à la bonne exécution de la demande d'accès de l'utilisateur et à la sécurité et à la maintenance de l'infrastructure de données.
6. Les secrets d'affaires sont préservés et ne sont divulgués que lorsque le détenteur de données et l'utilisateur prennent toutes les mesures nécessaires avant la divulgation pour préserver leur confidentialité, en particulier en ce qui concerne les tiers. Le détenteur de données ou, s'il ne s'agit pas de la même personne, le détenteur de secrets d'affaires recense les données protégées en tant que secrets d'affaires, y compris dans les métadonnées pertinentes, et convient avec l'utilisateur de mesures techniques et organisationnelles proportionnées nécessaires afin de préserver la confidentialité des données partagées, en particulier en ce qui concerne les tiers, telles que des clauses contractuelles types, des accords de confidentialité, des protocoles d'accès stricts, des normes techniques et l'application de codes de conduite.
7. En l'absence d'accord sur les mesures nécessaires visées au paragraphe 6, ou si l'utilisateur ne met pas en œuvre les mesures convenues en vertu du paragraphe 6 ou compromet la confidentialité des secrets d'affaires, le détenteur de données peut bloquer ou, selon le cas, suspendre le partage des données définies comme secrets d'affaires. La décision du détenteur de données est dûment motivée et communiquée par écrit à l'utilisateur sans retard injustifié. Dans de tels cas, le détenteur de données notifie à l'autorité compétente désignée en vertu de l'article 37 qu'il a retenu ou suspendu le partage de données et indique les mesures qui n'ont pas été convenues ou mises en œuvre et, le cas échéant, les secrets d'affaires dont la confidentialité a été compromise.
8. Dans des circonstances exceptionnelles, lorsque le détenteur de données qui est un détenteur de secret d'affaires peut démontrer qu'il est très probable qu'il subisse un préjudice économique grave du fait de la divulgation de secrets d'affaires, malgré les mesures techniques et organisationnelles prises par l'utilisateur en vertu du paragraphe 6 du présent article, ce détenteur de données peut refuser au cas par cas une demande d'accès aux données spécifiques en question. Cette démonstration est dûment étayée sur la base d'éléments objectifs, en particulier l'opposabilité de la protection des secrets d'affaires dans les pays tiers, la nature et le niveau de confidentialité des données demandées, ainsi que le caractère unique et neuf du produit connecté, et est fournie par écrit à l'utilisateur sans retard injustifié. Lorsque le détenteur de données refuse de partager des données en vertu du présent paragraphe, il adresse une notification à l'autorité compétente désignée en vertu de l'article 37.
9. Sans préjudice du droit d'un utilisateur de demander réparation à tout moment devant une juridiction d'un État membre, un utilisateur souhaitant contester la décision d'un détenteur de données de refuser ou de bloquer ou suspendre le partage de données en vertu des paragraphes 7 et 8 peut:
| a) | introduire une réclamation auprès de l'autorité compétente conformément à l'article 37, paragraphe 5, point b), qui décide, sans retard injustifié, si et dans quelles conditions le partage des données doit commencer ou reprendre; ou |
| b) | convenir avec le détenteur de données de porter la question devant un organe de règlement des litiges conformément à l'article 10, paragraphe 1. |
10. L'utilisateur ne se sert pas des données obtenues en réponse à une demande visée au paragraphe 1 pour mettre au point un produit connecté concurrençant le produit connecté dont proviennent les données, ni ne partage les données avec un tiers dans cette intention, et il n'utilise pas ces données pour obtenir des informations sur la situation économique, les actifs ou les méthodes de production du fabricant ou, le cas échéant, du détenteur de données.
11. L'utilisateur s'abstient d'avoir recours à des moyens coercitifs ou de tirer avantage de lacunes dans l'infrastructure technique du détenteur de données qui est destinée à protéger les données pour obtenir l'accès aux données.
12. Lorsque l'utilisateur n'est pas la personne concernée dont les données à caractère personnel font l'objet de la demande, les données à caractère personnel générées par l'utilisation d'un produit connecté ou d'un service connexe ne sont mises à la disposition de l'utilisateur par le détenteur de données que s'il existe un fondement juridique valable pour le traitement au titre de l'article 6 du règlement (UE) 2016/679 et, le cas échéant, si les conditions énoncées à l'article 9 dudit règlement et à l'article 5, paragraphe 3, de la directive 2002/58/CE sont remplies.
13. Un détenteur de données n'utilise les données facilement accessibles qui sont des données à caractère non personnel que sur la base d'un contrat avec l'utilisateur. Un détenteur de données n'utilise pas ces données pour obtenir des informations sur la situation économique, les actifs ou les méthodes de production de l'utilisateur, ou sur l'utilisation qu'en fait ce dernier, d'une quelconque autre manière susceptible de porter atteinte à la position commerciale dudit utilisateur sur les marchés où celui-ci est actif.
14. Les détenteurs de données ne mettent pas à la disposition de tiers les données à caractère non personnel relatives aux produits à des fins commerciales ou non commerciales autres que l'exécution de leur contrat avec l'utilisateur. Le cas échéant, les détenteurs de données obligent contractuellement les tiers à ne pas partager les données reçues de leur part.
Article 5
Droit de l'utilisateur de partager des données avec des tiers
1. Lorsqu'un utilisateur ou une partie agissant pour le compte d'un utilisateur en fait la demande, le détenteur de données met les données facilement accessibles, ainsi que les métadonnées pertinentes nécessaires à l'interprétation et à l'utilisation de ces données, à la disposition d'un tiers sans retard injustifié, à un niveau de qualité identique à celui dont bénéficie le détenteur de données, de manière aisée, sécurisée, sans frais pour l'utilisateur, dans un format complet, structuré, couramment utilisé et lisible par machine et, lorsque cela est pertinent et techniquement possible, en continu et en temps réel. Les données sont mises à la disposition du tiers par le détenteur de données conformément aux articles 8 et 9.
2. Le paragraphe 1 ne s'applique pas aux données facilement accessibles dans le cadre de l'essai de nouveaux produits connectés, substances ou procédés qui ne sont pas encore mis sur le marché, à moins que leur utilisation par un tiers ne soit contractuellement autorisée.
3. Toute entreprise désignée comme contrôleur d'accès, conformément à l'article 3 du règlement (UE) 2022/1925, n'est pas un tiers éligible au titre du présent article et ne peut par conséquent pas:
| a) | inviter un utilisateur, par une sollicitation ou par une incitation commerciale, quelles qu'elles soient, y compris en fournissant une compensation pécuniaire ou de toute autre nature, à mettre à la disposition de l'un de ses services des données que l'utilisateur a obtenues à la suite d'une demande introduite au titre de l'article 4, paragraphe 1; |
| b) | inviter un utilisateur, par une sollicitation ou par une incitation commerciale, à demander au détenteur de données de mettre des données à la disposition de l'un de ses services conformément au paragraphe 1 du présent article; |
| c) | recevoir d'un utilisateur des données que ce dernier a obtenues à la suite d'une demande introduite au titre de l'article 4, paragraphe 1. |
4. Afin de vérifier si une personne physique ou morale peut être considérée comme un utilisateur ou un tiers aux fins du paragraphe 1, l'utilisateur ou le tiers n'est pas tenu de fournir d'autres informations que celles qui sont nécessaires. Les détenteurs de données ne conservent aucune autre information sur l'accès du tiers aux données demandées que celles qui sont nécessaires à la bonne exécution de la demande d'accès du tiers et à la sécurité et à la maintenance de l'infrastructure de données.
5. Le tiers s'abstient d'avoir recours à des moyens coercitifs ou de tirer avantage de lacunes dans l'infrastructure technique d'un détenteur de données qui est destinée à protéger les données pour obtenir l'accès aux données.
6. Un détenteur de données n'utilise aucune donnée facilement accessible pour obtenir des informations sur la situation économique, les actifs ou les méthodes de production du tiers, ou sur l'utilisation qu'en fait ce dernier, d'une quelconque autre manière susceptible de porter atteinte à la position commerciale du tiers sur les marchés sur lesquels il exerce ses activités, à moins que le tiers n'ait autorisé cette utilisation et ne dispose de la possibilité technique de retirer facilement cette autorisation à tout moment.
7. Lorsque l'utilisateur n'est pas la personne concernée dont les données à caractère personnel font l'objet de la demande, les données à caractère personnel générées par l'utilisation d'un produit connecté ou d'un service connexe, ne sont mises à la disposition du tiers par le détenteur de données que s'il existe un fondement juridique valable pour le traitement au titre de l'article 6 du règlement (UE) 2016/679 et, le cas échéant, si les conditions énoncées à l'article 9 dudit règlement et à l'article 5, paragraphe 3, de la directive 2002/58/CE sont remplies.
8. L'absence d'accord entre le détenteur de données et le tiers concernant les modalités de transmission des données ne doit pas entraver, empêcher ou interférer avec l'exercice des droits de la personne concernée au titre du règlement (UE) 2016/679 et, en particulier, du droit à la portabilité des données prévu à l'article 20 dudit règlement.
9. Les secrets d'affaires sont préservés et ne sont divulgués à des tiers que dans la mesure où cette divulgation est strictement nécessaire pour atteindre la finalité convenue entre l'utilisateur et le tiers. Le détenteur de données ou, s'il ne s'agit pas de la même personne, le détenteur de secrets d'affaires, recense les données protégées en tant que secrets d'affaires, y compris dans les métadonnées pertinentes, et convient avec le tiers de toutes les mesures techniques et organisationnelles proportionnées nécessaires afin de préserver la confidentialité des données partagées, telles que des clauses contractuelles types, des accords de confidentialité, des protocoles d'accès stricts, des normes techniques et l'application de codes de conduite.
10. En l'absence d'accord sur les mesures nécessaires visées au paragraphe 9 du présent article, ou si le tiers ne met pas en œuvre les mesures convenues en vertu du paragraphe 9 du présent article ou compromet la confidentialité des secrets d'affaires, le détenteur de données peut bloquer ou, selon le cas, suspendre le partage des données définies comme constituant des secrets d'affaires. La décision du détenteur de données est dûment motivée et communiquée par écrit au tiers, sans retard injustifié. Dans de tels cas, le détenteur de données notifie à l'autorité compétente désignée en vertu de l'article 37 qu'il a retenu ou suspendu le partage de données et indique les mesures qui n'ont pas été convenues ou mises en œuvre et, le cas échéant, les secrets d'affaires dont la confidentialité a été compromise.
11. Dans des circonstances exceptionnelles, lorsque le détenteur de données qui est un détenteur de secret d'affaires peut démontrer qu'il est très probable qu'il subisse un préjudice économique grave du fait de la divulgation de secrets d'affaires, malgré les mesures techniques et organisationnelles prises par le tiers en vertu du paragraphe 9 du présent article, ce détenteur de données peut refuser au cas par cas une demande d'accès aux données spécifiques en question. Cette démonstration est dûment étayée sur la base d'éléments objectifs, en particulier l'opposabilité de la protection des secrets d'affaires dans les pays tiers, la nature et le niveau de confidentialité des données demandées, ainsi que le caractère unique et neuf du produit connecté, et est fournie par écrit au tiers sans retard injustifié. Lorsque le détenteur de données refuse de partager des données en vertu du présent paragraphe, il adresse une notification à l'autorité compétente désignée en vertu de l'article 37.
12. Sans préjudice du droit du tiers de demander réparation à tout moment devant une juridiction d'un État membre, un tiers souhaitant contester la décision du détenteur de données de refuser ou de bloquer ou suspendre le partage de données en vertu des paragraphes 10 et 11 peut:
| a) | introduire une réclamation auprès de l'autorité compétente conformément à l'article 37, paragraphe 5, point b), qui décide, sans retard injustifié, si et dans quelles conditions le partage des données doit commencer ou reprendre; ou |
| b) | convenir avec le détenteur de données de porter la question devant un organe de règlement des litiges conformément à l'article 10, paragraphe 1. |
13. Le droit visé au paragraphe 1 ne porte pas atteinte aux droits des personnes concernées conformément au droit de l'Union et au droit national applicables en matière de protection des données à caractère personnel.
Article 6
Obligations des tiers recevant des données à la demande de l'utilisateur
1. Un tiers traite les données mises à sa disposition en application de l'article 5 uniquement aux fins et dans les conditions convenues avec l'utilisateur et sous réserve du droit de l'Union et du droit national en matière de protection des données à caractère personnel, y compris les droits de la personne concernée dans la mesure où les données à caractère personnel sont concernées. Le tiers efface les données lorsqu'elles ne sont plus nécessaires à la finalité convenue, sauf accord contraire avec l'utilisateur en ce qui concerne les données à caractère non personnel.
2. Le tiers ne peut pas:
| a) | rendre l'exercice des choix ou des droits de l'utilisateur, au titre de l'article 5 et du présent article, indûment difficile, y compris en proposant des choix à l'utilisateur d'une manière qui n'est pas neutre, ou en contraignant, en trompant ou en manipulant l'utilisateur, ou en réduisant ou en compromettant l'autonomie, la prise de décision ou les choix de l'utilisateur, y compris au moyen d'une interface numérique utilisateur ou d'une partie de celle-ci; |
| b) | nonobstant l'article 22, paragraphe 2, points a) et c), du règlement (UE) 2016/679, utiliser les données qu'il reçoit à des fins de profilage, à moins que cela ne soit nécessaire pour fournir le service demandé par l'utilisateur; |
| c) | mettre les données qu'il reçoit à la disposition d'un autre tiers, à moins que les données ne soient mises à disposition sur le fondement d'un contrat avec l'utilisateur, et à condition que l'autre tiers prenne toutes les mesures nécessaires convenues entre le détenteur de données et le tiers pour préserver la confidentialité des secrets d'affaires; |
| d) | mettre les données qu'il reçoit à la disposition d'une entreprise désignée comme contrôleur d'accès, conformément à l'article 3 du règlement (UE) 2022/1925; |
| e) | utiliser les données qu'il reçoit pour développer un produit concurrençant le produit connecté dont proviennent les données auxquelles il a accès ou de partager les données avec un autre tiers à cette fin; les tiers n'utilisent pas non plus de données à caractère non personnel relatives au produit ou relatives au service connexe mises à leur disposition pour obtenir des informations sur la situation économique, les actifs ou les méthodes de production du détenteur de données ou sur l'utilisation que ce dernier en fait; |
| f) | utiliser les données qu'il reçoit d'une manière qui nuit à la sécurité du produit connecté ou du service connexe; |
| g) | méconnaître les mesures spécifiques convenues avec le détenteur de données ou le détenteur de secrets d'affaires conformément à l'article 5, paragraphe 9, et compromettre la confidentialité des secrets d'affaires; |
| h) | empêcher l'utilisateur qui est un consommateur, y compris sur le fondement 'd'un contrat, de mettre à la disposition d'autres parties les données qu'il reçoit. |
Article 17
Demandes de mise à disposition de données
1. Lorsqu'un organisme du secteur public, la Commission, la Banque centrale européenne ou un organe de l'Union demande des données en vertu de l'article 14, il ou elle:
| a) | précise les données qui sont demandées, y compris les métadonnées nécessaires à l'interprétation et à l'utilisation de ces données; |
| b) | démontre que les conditions nécessaires à l'existence d'un besoin exceptionnel conformément à l'article 15 pour lequel les données sont demandées sont remplies; |
| c) | explique la finalité de la demande, l'utilisation qu'il est prévu de faire des données demandées, y compris, le cas échéant, par un tiers conformément au paragraphe 4 du présent article, la durée de cette utilisation et, le cas échéant, la manière dont le traitement de données à caractère personnel doit répondre au besoin exceptionnel; |
| d) | précise, si possible, la date à laquelle les données sont censées être effacées par toutes les parties qui y ont accès; |
| e) | justifie le choix du détenteur de données auquel la demande est adressée; |
| f) | précise avec qui, parmi les autres organismes du secteur public, la Commission, la Banque centrale européenne ou les organes de l'Union ou les tiers, il est prévu de partager les données demandées; |
| g) | lorsque des données à caractère personnel sont demandées, précise les éventuelles mesures techniques et organisationnelles proportionnées et nécessaires pour mettre en œuvre les principes de protection des données et les garanties nécessaires, telles que la pseudonymisation, et si l'anonymisation peut être appliquée par le détenteur de données avant de mettre les données à disposition; |
| h) | indique la disposition juridique confiant à l'organisme du secteur public demandeur, à la Commission, à la Banque centrale européenne ou à l'organe de l'Union la mission spécifique exécutée dans l'intérêt public qui justifie la demande de données; |
| i) | précise le délai dans lequel les données doivent être mises à disposition et le délai visé à l'article 18, paragraphe 2, dans lequel le détenteur de données peut rejeter la demande ou demander sa modification; |
| j) | met tout en œuvre pour éviter qu'en donnant suite à la demande de données, les détenteurs de données n'engagent leur responsabilité pour infraction au droit de l'Union ou au droit national. |
2. Une demande de données présentée en vertu du paragraphe 1 du présent article:
| a) | est formulée par écrit et exprimée en termes clairs, concis et simples, compréhensibles pour le détenteur de données; |
| b) | est spécifique quant au type de données demandées et correspond aux données sur lesquelles le détenteur de données exerce un contrôle au moment de la demande; |
| c) | est proportionnée au besoin exceptionnel et dûment motivée, en ce qui concerne la granularité et le volume des données demandées, ainsi que la fréquence d'accès aux données demandées; |
| d) | respecte les objectifs légitimes du détenteur de données, en s'engageant à garantir la protection des secrets d'affaires conformément à l'article 19, paragraphe 3, ainsi qu'en tenant compte des coûts et des efforts nécessaires pour mettre les données à disposition; |
| e) | concerne des données à caractère non personnel et, uniquement s'il est démontré que cela est insuffisant pour répondre au besoin exceptionnel d'utiliser des données, conformément à l'article 15, paragraphe 1, point a), des données à caractère personnel sous une forme pseudonymisée et établit les mesures techniques et organisationnelles qui doivent être prises pour protéger les données; |
| f) | informe le détenteur de données des sanctions qui doivent être imposées au titre de l'article 40 par l'autorité compétente désignée en vertu de l'article 37 s'il n'est pas donné suite à la demande; |
| g) | lorsqu'elle est présentée par un organisme du secteur public, est transmise au coordinateur de données visé à l'article 37 de l'État membre dans lequel est établi l'organisme du secteur public demandeur, qui publie la demande en ligne sans retard injustifié, à moins que le coordinateur de données ne considère qu'une telle publication présenterait un risque pour la sécurité publique; |
| h) | lorsqu'elle est présentée par la Commission, la Banque centrale européenne ou un organe de l'Union, est mise à disposition en ligne sans retard injustifié; |
| i) | lorsque des données à caractère personnel sont demandées, est notifiée sans retard injustifié à l'autorité de contrôle chargée de surveiller l'application du règlement (UE) 2016/679 dans l'État membre dans lequel l'organisme du secteur public est établi. |
La Banque centrale européenne et les organes de l'Union informent la Commission de leurs demandes.
3. Un organisme du secteur public, la Commission, la Banque centrale européenne ou un organe de l'Union ne met pas les données obtenues au titre du présent chapitre à disposition en vue de leur réutilisation au sens de l'article 2, point 2), du règlement (UE) 2022/868 ou de l'article 2, point 11), de la directive (UE) 2019/1024. Le règlement (UE) 2022/868 et la directive (UE) 2019/1024 ne s'appliquent pas aux données détenues par des organismes du secteur public obtenues au titre du présent chapitre.
4. Le paragraphe 3 du présent article n'empêche pas un organisme du secteur public, la Commission, la Banque centrale européenne ou un organe de l'Union d'échanger des données obtenues en vertu du présent chapitre avec un autre organisme du secteur public, la Commission, la Banque centrale européenne ou un organe de l'Union en vue de l'accomplissement des tâches prévues à l'article 15, comme indiqué dans la demande conformément au paragraphe 1, point f), du présent article, ni de mettre les données à la disposition d'un tiers lorsqu'il ou elle a délégué, au moyen d'un accord accessible au public, des inspections techniques ou d'autres fonctions auprès de ce tiers. Les obligations incombant aux organismes du secteur public conformément à l'article 19, en particulier les garanties visant à préserver la confidentialité des secrets d'affaires, s'appliquent également à ces tiers. Lorsqu'un organisme du secteur public, la Commission, la Banque centrale européenne ou un organe de l'Union transmet ou met des données à disposition en vertu du présent paragraphe, il ou elle adresse une notification, sans retard injustifié, au détenteur de données auprès duquel les données ont été obtenues.
5. Lorsque le détenteur de données estime que ses droits au titre du présent chapitre ont été enfreints par la transmission ou la mise à disposition de données, il peut introduire une réclamation auprès de l'autorité compétente désignée en vertu de l'article 37 de l'État membre dans lequel le détenteur de données est établi.
6. La Commission élabore un modèle de demande conformément au présent article.
Article 32
Accès et transfert internationaux par les autorités publiques
1. Les fournisseurs de services de traitement de données prennent toutes les mesures techniques, organisationnelles et juridiques adéquates, y compris des contrats, afin d'empêcher l'accès international des autorités publiques et l'accès des autorités publiques des pays tiers aux données à caractère non personnel détenues dans l'Union et le transfert de ces données lorsque ce transfert ou cet accès risque d'être en conflit avec le droit de l'Union ou le droit national de l'État membre concerné, sans préjudice du paragraphe 2 ou 3.
2. Toute décision ou tout jugement d'une juridiction d'un pays tiers et toute décision d'une autorité administrative d'un pays tiers exigeant d'un fournisseur de services de traitement de données qu'il transfère des données à caractère non personnel relevant du champ d'application du présent règlement et détenues dans l'Union ou qu'il donne accès à ces données ne sont reconnus ou rendus exécutoires de quelque manière que ce soit que s’ils sont fondés sur un accord international, tel qu'un traité d'entraide judiciaire, en vigueur entre le pays tiers demandeur et l'Union, ou tout accord de ce type entre le pays tiers demandeur et un État membre.
3. En l'absence d'un accord international tel qu'il est visé au paragraphe 2, lorsqu'un fournisseur de services de traitement de données est destinataire d'une décision ou d'un jugement d'une juridiction d'un pays tiers ou d'une décision d'une autorité administrative d'un pays tiers imposant de transférer des données à caractère non personnel relevant du champ d'application du présent règlement et détenues dans l'Union ou d'y donner accès, et lorsque le respect d'une telle décision risquerait de mettre le destinataire en conflit avec le droit de l'Union ou avec le droit national de l'État membre concerné, le transfert de ces données vers cette autorité d'un pays tiers ou l'accès à ces données par cette même autorité n'a lieu que s'il est satisfait aux conditions suivantes:
| a) | le système du pays tiers exige que les motifs et la proportionnalité d'une telle décision ou d'un tel jugement soient exposés et que cette décision ou ce jugement revête un caractère spécifique, par exemple en établissant un lien suffisant avec certains suspects ou avec des infractions; |
| b) | l'objection motivée du destinataire fait l'objet d'un examen par une juridiction compétente du pays tiers; et |
| c) | la juridiction compétente d'un pays tiers qui rend la décision ou le jugement ou qui contrôle la décision d'une autorité administrative est habilitée, en vertu du droit de ce pays tiers, à prendre dûment en compte les intérêts juridiques concernés du fournisseur des données protégées par le droit de l'Union ou par le droit national de l'État membre concerné. |
Le destinataire de la décision ou du jugement peut solliciter l'avis de l'autorité nationale ou de l'organisme national concernés compétents pour la coopération internationale en matière juridique, afin de déterminer si les conditions prévues au premier alinéa sont remplies, notamment lorsqu'il estime que la décision peut concerner des secrets d'affaires et d'autres données commercialement sensibles ainsi que du contenu protégé par des droits de propriété intellectuelle, ou que le transfert peut donner lieu à une réidentification. L'autorité nationale ou l'organisme national concernés peut consulter la Commission. Si le destinataire estime que la décision ou le jugement est susceptible de porter atteinte aux intérêts de l'Union ou de ses États membres en matière de sécurité nationale ou de défense, il demande l'avis de l'autorité nationale ou de l'organisme national concernés afin de déterminer si les données demandées concernent les intérêts de l'Union ou de ses États membres en matière de sécurité nationale ou de défense. Si le destinataire n'a pas reçu de réponse dans un délai d'un mois, ou si cette autorité ou cet organisme conclut dans son avis que les conditions prévues au premier alinéa ne sont pas remplies, le destinataire peut, pour ces motifs, rejeter la demande de transfert de données à caractère non personnel ou d'accès à de telles données.
Le comité européen de l'innovation dans le domaine des données visé à l'article 42 conseille et assiste la Commission dans l'élaboration de lignes directrices relatives à l'évaluation du respect des conditions prévues au premier alinéa du présent paragraphe.
4. Si les conditions énoncées au paragraphe 2 ou 3 sont remplies, le fournisseur de services de traitement de données fournit le volume minimal de données admissible en réponse à une demande, sur la base de l'interprétation que peut raisonnablement donner de cette demande le fournisseur ou l'autorité nationale ou l'organisme national concernés visés au paragraphe 3, deuxième alinéa.
5. Le fournisseur de services de traitement de données informe le client de l'existence d'une demande d'accès à des données le concernant qui émane d'une autorité d'un pays tiers avant de donner suite à cette demande, sauf lorsque cette demande sert des fins répressives et aussi longtemps que cela est nécessaire pour préserver l'efficacité de l'action répressive.
CHAPITRE VIII
INTEROPERABILITE
Article 33
Exigences essentielles concernant l'interopérabilité des données, des mécanismes et des services de partage des données ainsi que des espaces européens communs de données
1. Les participants aux espaces de données qui proposent des données ou des services de données à d'autres participants respectent les exigences essentielles suivantes en vue de faciliter l'interopérabilité des données, des mécanismes et des services de partage de données, ainsi que des espaces européens communs des données qui sont des cadres interopérables de normes et de pratiques communes transsectoriels ou spécifiques à chaque finalité ou à chaque secteur visant à partager ou à traiter conjointement des données pour, entre autres, la mise au point de nouveaux produits et services, la recherche scientifique ou des initiatives de la société civile:
| a) | le contenu de l'ensemble de données, les restrictions d'utilisation, les licences, la méthode de collecte des données, la qualité des données et l'incertitude sur les données sont suffisamment décrits, le cas échéant, dans un format lisible par machine, pour permettre au destinataire de trouver les données, d'y accéder et de les utiliser; |
| b) | les structures de données, les formats de données, les vocabulaires, les systèmes de classification, les taxinomies et les listes de codes, le cas échéant, sont décrits de manière publiquement accessible et cohérente; |
| c) | les moyens techniques d'accès aux données, tels que les interfaces de programmation d'applications, ainsi que leurs conditions d'utilisation et leur qualité de service sont suffisamment décrits pour permettre l'accès automatique aux données et leur transmission automatique entre les parties, y compris en continu, en téléchargement de masse ou en temps réel dans un format lisible par machine, lorsque cela est techniquement possible et n'entrave pas le bon fonctionnement du produit connecté; |
| d) | le cas échéant, les moyens permettant l'interopérabilité des outils d'exécution automatique des accords de partage de données, tels que les contrats intelligents, sont prévus. |
Ces exigences peuvent être de nature générique ou concerner des secteurs spécifiques, tout en tenant pleinement compte de l'interdépendance avec les exigences découlant d'autres dispositions du droit de l'Union ou du droit national.
2. La Commission est habilitée à adopter des actes délégués conformément à l'article 45 du présent règlement afin de compléter le présent règlement en précisant davantage les exigences essentielles prévues au paragraphe 1 du présent article, en ce qui concerne les exigences qui, par leur nature, ne peuvent produire l'effet escompté que si elles sont précisées davantage dans des actes juridiques contraignants de l'Union, et afin de refléter correctement l'évolution des technologies et du marché.
Lorsqu'elle adopte des actes délégués, la Commission tient compte des avis du comité européen de l'innovation dans le domaine des données conformément à l'article 42, point c), iii).
3. Les participants aux espaces de données qui proposent des données ou des services de données à d'autres participants aux espaces de données qui satisfont aux normes harmonisées ou à des parties de normes harmonisées, dont les références sont publiées au Journal officiel de l'Union européenne, sont présumés être en conformité avec les exigences essentielles prévues au paragraphe 1, dans la mesure où ces exigences sont couvertes par de telles normes harmonisées ou des parties de ces normes.
4. En application de l'article 10 du règlement (UE) no 1025/2012, la Commission demande à une ou plusieurs organisations européennes de normalisation d'élaborer des normes harmonisées qui satisfont aux exigences essentielles prévues au paragraphe 1 du présent article.
5. La Commission peut, par voie d'actes d'exécution, adopter des spécifications communes couvrant l'une ou l'ensemble des exigences essentielles prévues au paragraphe 1 lorsque les conditions suivantes sont remplies:
| a) | la Commission a demandé, conformément à l'article 10, paragraphe 1, du règlement (UE) no 1025/2012, à une ou plusieurs organisations européennes de normalisation d'élaborer une norme harmonisée qui satisfait aux exigences essentielles prévues au paragraphe 1 du présent article et:
|
| b) | aucune référence à des normes harmonisées couvrant les exigences essentielles pertinentes prévues au paragraphe 1 du présent article n'est publiée au Journal officiel de l'Union européenne conformément au règlement (UE) no 1025/2012 et aucune référence de ce type ne devrait être publiée dans un délai raisonnable. |
Ces actes d'exécution sont adoptés en conformité avec la procédure d'examen visée à l'article 46, paragraphe 2.
6. Avant de préparer un projet d'acte d'exécution visé au paragraphe 5 du présent article, la Commission informe le comité visé à l'article 22 du règlement (UE) no 1025/2012 qu'elle estime que les conditions énoncées au paragraphe 5 du présent article ont été remplies.
7. Lorsqu'elle prépare le projet d'acte d'exécution visé au paragraphe 5, la Commission tient compte de l'avis du comité européen de l'innovation dans le domaine des données et du point de vue d'autres organismes ou groupes d'experts compétents et consulte dûment toutes les parties prenantes concernées.
8. Les participants aux espaces de données qui proposent des données ou des services de données aux autres participants aux espaces de données qui satisfont aux spécifications communes établies par des actes d'exécution visés au paragraphe 5 ou à des parties de celles-ci sont présumés être en conformité avec les exigences essentielles prévues au paragraphe 1 dans la mesure où ces exigences sont couvertes par de telles spécifications communes ou des parties de celles-ci.
9. Lorsqu'une norme harmonisée est adoptée par une organisation européenne de normalisation et proposée à la Commission en vue de la publication de sa référence au Journal officiel de l'Union européenne, la Commission évalue la norme harmonisée conformément au règlement (UE) no 1025/2012. Lorsque la référence d'une norme harmonisée est publiée au Journal officiel de l'Union européenne, la Commission abroge les actes d'exécution visés au paragraphe 5 du présent article, ou les parties de ces actes qui couvrent les mêmes exigences essentielles que celles couvertes par ladite norme harmonisée.
10. Lorsqu'un État membre estime qu'une spécification commune ne satisfait pas entièrement aux exigences essentielles prévues au paragraphe 1, il en informe la Commission en lui fournissant une explication détaillée. La Commission évalue cette explication détaillée et peut, le cas échéant, modifier l'acte d'exécution établissant la spécification commune en question.
11. La Commission peut adopter des lignes directrices en tenant compte de la proposition du comité européen de l'innovation dans le domaine des données conformément à l'article 30, point h), du règlement (UE) 2022/868 établissant des cadres interopérables pour les normes et pratiques communes pour le fonctionnement des espaces européens communs des données.
Article 35
Interopérabilité des services de traitement de données
1. Les spécifications d'interopérabilité ouvertes et les normes harmonisées pour l'interopérabilité des services de traitement de données:
| a) | réalisent, lorsque cela est techniquement possible, l'interopérabilité entre différents services de traitement de données couvrant le même type de service; |
| b) | améliorent la portabilité des actifs numériques entre différents services de traitement de données couvrant le même type de service; |
| c) | facilitent, lorsque cela est techniquement possible, l'équivalence fonctionnelle entre différents services de traitement de données visés à l'article 30, paragraphe 1, couvrant le même type de service; |
| d) | ne portent pas atteinte à la sécurité et à l'intégrité des services de traitement des données et des données; |
| e) | sont conçues de manière à permettre des avancées techniques et l'inclusion de nouvelles fonctions et innovations dans les services de traitement de données. |
2. Les spécifications d'interopérabilité ouvertes et les normes harmonisées pour l'interopérabilité des services de traitement de données couvrent de manière appropriée:
| a) | les aspects de l'interopérabilité de l'informatique en nuage qui concernent l'interopérabilité du transport, l'interopérabilité syntactique, l'interopérabilité sémantique des données, l'interopérabilité comportementale et l'interopérabilité du cadre normatif; |
| b) | les aspects de la portabilité des données en nuage pour la portabilité syntactique des données, la portabilité sémantique des données et la portabilité stratégique des données; |
| c) | les aspects applicatifs de l'informatique en nuage qui concernent la portabilité syntactique des applications, la portabilité des instructions des applications, la portabilité des métadonnées des applications, la portabilité comportementale des applications et la portabilité stratégique des applications. |
3. Les spécifications d'interopérabilité ouvertes sont conformes à l'annexe II du règlement (UE) no 1025/2012.
4. Après avoir tenu compte des normes internationales et européennes pertinentes ainsi que des initiatives d'autorégulation, la Commission peut, conformément à l'article 10, paragraphe 1, du règlement (UE) no 1025/2012, demander à une ou plusieurs organisations européennes de normalisation d'élaborer des normes harmonisées qui satisfont aux exigences essentielles prévues aux paragraphes 1 et 2 du présent article.
5. La Commission peut, par voie d'actes d'exécution, adopter des spécifications communes fondées sur des spécifications d'interopérabilité ouvertes couvrant toutes les exigences essentielles prévues aux paragraphes 1 et 2.
6. Lorsqu'elle prépare le projet d'acte d'exécution visé au paragraphe 5 du présent article, la Commission tient compte du point de vue des autorités compétentes visées à l'article 37, paragraphe 5, point h), et d'autres organismes ou groupes d'experts compétents et consulte dûment toutes les parties prenantes concernées.
7. Lorsqu'un État membre estime qu'une spécification commune ne satisfait pas entièrement aux exigences essentielles prévues aux paragraphes 1 et 2, il en informe la Commission en lui fournissant une explication détaillée. La Commission évalue cette explication détaillée et peut, le cas échéant, modifier l'acte d'exécution établissant la spécification commune en question.
8. Aux fins de l'article 30, paragraphe 3, la Commission publie, par voie d'actes d'exécution, les références des normes harmonisées et des spécifications communes pour l'interopérabilité des services de traitement de données dans un répertoire central des normes de l'Union pour l'interopérabilité des services de traitement de données.
9. Les actes d'exécution visés au présent article sont adoptés en conformité avec la procédure d'examen visée à l'article 46, paragraphe 2.
Article 49
Évaluation et réexamen
1. Au plus tard le 12 septembre 2028, la Commission procède à une évaluation du présent règlement et présente ses principales conclusions dans un rapport au Parlement européen et au Conseil, ainsi qu'au Comité économique et social européen. Cette évaluation porte, en particulier, sur les aspects suivants:
| a) | les situations qui doivent être considérées comme des situations de besoin exceptionnel aux fins de l'article 15 du présent règlement et de l'application du chapitre V du présent règlement, en particulier l'expérience acquise dans l'application du chapitre V du présent règlement par les organismes du secteur public, la Commission, la Banque centrale européenne et les organes de l'Union; le nombre de procédures engagées auprès de l'autorité compétente au titre de l'article 18, paragraphe 5, concernant l'application du chapitre V du présent règlement et leur issue, telles que déclarées par les autorités compétentes; l'incidence d'autres obligations prévues par le droit de l'Union ou le droit national aux fins de donner suite aux demandes d'accès aux informations; l'incidence des mécanismes de partage volontaire des données, tels que ceux mis en place par des organisations altruistes en matière de données reconnues en vertu du règlement (UE) 2022/868, sur la réalisation des objectifs du chapitre V du présent règlement, et le rôle des données à caractère personnel dans le contexte de l'article 15 du présent règlement, y compris l'évolution des technologies renforçant la protection de la vie privée; |
| b) | l'incidence du présent règlement sur l'utilisation des données dans l'économie, y compris sur l'innovation dans le domaine des données, les pratiques de monétisation des données et les services d'intermédiation de données, ainsi que sur le partage de données au sein des espaces européens communs des données; |
| c) | l'accessibilité et l'utilisation des différentes catégories et des différents types de données; |
| d) | l'exclusion de certaines catégories d'entreprises en tant que bénéficiaires au titre de l'article 5; |
| e) | l'absence de toute incidence sur les droits de propriété intellectuelle; |
| f) | l'incidence sur les secrets d'affaires, y compris sur la protection contre leur obtention, leur utilisation et leur divulgation illicites, ainsi que l'incidence du mécanisme permettant au détenteur de données de refuser la demande de l'utilisateur au titre de l'article 4, paragraphe 8, et de l'article 5, paragraphe 11, en tenant compte, dans la mesure du possible, de toute révision de la directive (UE) 2016/943; |
| g) | la question de savoir si la liste des clauses contractuelles abusives visée à l'article 13 est à jour à la lumière des nouvelles pratiques commerciales et du rythme rapide de l'innovation sur le marché; |
| h) | les changements dans les pratiques contractuelles des fournisseurs de services de traitement de données et la question de savoir si cela se traduit par un respect suffisant de l'article 25; |
| i) | la réduction des frais imposés par les fournisseurs de services de traitement de données pour le processus de changement de fournisseur, en conformité avec la suppression progressive des frais de changement de fournisseur en vertu de l'article 29; |
| j) | l'interaction du présent règlement avec d'autres actes juridiques de l'Union présentant un intérêt pour l'économie fondée sur les données; |
| k) | la prévention de tout accès illicite des pouvoirs publics aux données à caractère non personnel; |
| l) | l'efficacité du système de contrôle d'application requis au titre de l'article 37; |
| m) | les effets du présent règlement sur les PME en ce qui concerne leur capacité d'innovation, la disponibilité des services de traitement des données pour les utilisateurs dans l'Union et la charge que représente le respect de nouvelles obligations. |
2. Au plus tard le 12 septembre 2028, la Commission procède à une évaluation du présent règlement et présente au Parlement européen et au Conseil, ainsi qu'au Comité économique et social européen, un rapport reprenant ses principales conclusions. Cette évaluation porte sur les effets des articles 23 à 31 et des articles 34 et 35, en particulier en ce qui concerne la tarification et la diversité des services de traitement de données offerts au sein de l'Union, en accordant une attention particulière aux PME en tant que fournisseurs.
3. Les États membres fournissent à la Commission les informations nécessaires à l'établissement des rapports visés aux paragraphes 1 et 2.
4. Sur la base des rapports visés aux paragraphes 1 et 2, la Commission peut, le cas échéant, présenter au Parlement européen et au Conseil une proposition législative de modification du présent règlement.
whereas