keyboard_tab Data Act 2023/2854 FR
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Article 2 Définitions
- 3 Article 3 Obligation de rendre les données relatives aux produits et les données relatives aux services connexes accessibles à l'utilisateur
- 1 Article 10 Règlement des litiges
- 1 Article 29 Suppression progressive des frais de changement de fournisseur
- 1 Article 30 Aspects techniques du changement de fournisseur
- 1 Article 37 Autorités compétentes et coordinateurs de données
CHAPITRE I
DISPOSITIONS GENERALES
CHAPITRE II
PARTAGE DE DONNEES ENTRE ENTREPRISES ET CONSOMMATEURS ET ENTRE ENTREPRISES
CHAPITRE III
OBLIGATIONS APPLICABLES AUX DETENTEURS DE DONNEES TENUS DE METTRE DES DONNEES A DISPOSITION EN VERTU DU DROIT DE L'UNION
CHAPITRE IV
CLAUSES CONTRACTUELLES ABUSIVES RELATIVES A L'ACCES AUX DONNEES ET A L'UTILISATION DES DONNEES ENTRE ENTREPRISES
CHAPITRE V
MISE A LA DISPOSITION D'ORGANISMES DU SECTEUR PUBLIC, DE LA COMMISSION, DE LA BANQUE CENTRALE EUROPEENNE ET D'ORGANES DE L'UNION DE DONNEES SUR LE FONDEMENT D'UN BESOIN EXCEPTIONNEL
CHAPITRE VI
CHANGEMENT DE SERVICES DE TRAITEMENT DE DONNEES
CHAPITRE VII
ACCES INTERNATIONAL ILLICITE AUX DONNEES A CARACTERE NON PERSONNEL ET TRANSFERT INTERNATIONAL ILLICITE DE CES DONNEES PAR LES AUTORITES PUBLIQUES
CHAPITRE VIII
INTEROPERABILITE
CHAPITRE IX
MISE EN ŒUVRE ET EXECUTION
CHAPITRE X
DROIT SUI GENERIS PREVU PAR LA DIRECTIVE 96/9/CE
CHAPITRE XI
DISPOSITIONS FINALES
- données 147
- règlement 56
- services 53
- traitement 49
- présent 45
- dans 40
- pour 40
- service 37
- fournisseur 34
- article 30
- union 26
- autorités 26
- litiges 25
- avec 24
- produit 23
- utilisateur 23
- conformément 22
- application 21
- client 21
- détenteur 20
- compris 19
- sont 19
- les 18
- changement 18
- droit 17
- connecté 17
- disposition 17
- compétentes 17
- frais 17
- organe 16
- autre 16
- fournisseurs 16
- utilisation 15
- échéant 15
- paragraphe 15
- informations 15
- autorité 14
- toute 14
- membre 14
- relatives 14
- État 14
- entité 13
- leur 12
- demande 12
- autres 12
- leurs 11
- compétente 11
- article 11
- manière 10
- telle 10
Article 2
Définitions
Aux fins du présent règlement, on entend par:
| 1) | "données": toute représentation numérique d'actes, de faits ou d'informations et toute compilation de ces actes, faits ou informations, notamment sous la forme d'enregistrements sonores, visuels ou audiovisuels; |
| 2) | "métadonnées": une description structurée du contenu ou de l'utilisation des données qui facilite la découverte ou l'utilisation de ces données; |
| 3) | "données à caractère personnel": les données à caractère personnel au sens de l'article 4, point 1), du règlement (UE) 2016/679; |
| 4) | "données à caractère non personnel": les données autres que les données à caractère personnel; |
| 5) | "produit connecté": un objet qui obtient, génère ou recueille des données concernant son utilisation ou son environnement, qui est en mesure de communiquer des données relatives au produit par l'intermédiaire d'un service de communications électroniques, d'une connexion physique ou d'un dispositif d'accès intégré et dont la fonction première n'est pas de stocker, de traiter ou de transmettre des données pour le compte de toute partie autre que l'utilisateur; |
| 6) | "service connexe": un service numérique, autre qu'un service de communications électroniques, y compris un logiciel, qui est connecté au produit au moment de l'achat, ou de la mise en location ou en crédit-bail, de telle sorte que son absence empêcherait le produit connecté d'exécuter une ou plusieurs de ses fonctions, ou qui est ensuite connecté au produit par le fabricant ou un tiers pour ajouter, mettre à jour ou adapter les fonctions du produit connecté; |
| 7) | "traitement": toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliqués à des données ou à des ensembles de données, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou d'autres moyens de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction; |
| 8) | "service de traitement de données": un service numérique qui est fourni à un client et qui permet un accès par réseau en tout lieu et à la demande à un ensemble partagé de ressources informatiques configurables, modulables et variables de nature centralisée, distribuée ou fortement distribuée, qui peuvent être rapidement mobilisées et libérées avec un minimum d'efforts de gestion ou d'interaction avec le fournisseur de services; |
| 9) | "même type de service": un ensemble de services de traitement de données qui partagent le même objectif principal, le même modèle de service de traitement de données et les principales fonctionnalités; |
| 10) | "service d'intermédiation de données": le service d'intermédiation de données au sens de l'article 2, point 11), du règlement (UE) 2022/868; |
| 11) | "personne concernée": la personne concernée telle qu'elle est visée à l'article 4, point 1), du règlement (UE) 2016/679; |
| 12) | "utilisateur": une personne physique ou morale à laquelle appartient un produit connecté ou à laquelle des droits temporaires d'utilisation de ce produit connecté ont été cédés contractuellement, ou qui reçoit des services connexes; |
| 13) | "détenteur de données": une personne physique ou morale qui, conformément au présent règlement, aux dispositions applicables du droit de l'Union ou à la législation nationale adoptée conformément au droit de l'Union, a le droit ou l'obligation d'utiliser et de mettre à disposition des données, y compris, lorsqu'il en a été convenu par contrat, des données relatives au produit ou des données relatives au service connexe qu'elle a extraites ou générées au cours de la fourniture d'un service connexe; |
| 14) | "destinataire de données": une personne physique ou morale, autre que l'utilisateur d'un produit connecté ou d'un service connexe, agissant à des fins qui sont liées à son activité commerciale, industrielle, artisanale ou libérale, à la disposition duquel le détenteur de données met des données, y compris un tiers lorsque l'utilisateur a adressé une demande au détenteur de données ou conformément à une obligation légale découlant du droit de l'Union ou de la législation nationale adoptée conformément au droit de l'Union; |
| 15) | "données relatives au produit": les données générées par l'utilisation d'un produit connecté que le fabricant a conçu pour qu'elles puissent être extraites, au moyen d'un service de communications électroniques, d'une connexion physique ou d'un dispositif d'accès intégré, par un utilisateur, un détenteur de données ou un tiers, y compris, le cas échéant, le fabricant; |
| 16) | "données relatives au service connexe": les données représentant la numérisation des actions de l'utilisateur ou des événements liés au produit connecté, enregistrées intentionnellement par l'utilisateur ou générées en tant que produit annexe de l'action de l'utilisateur lors de la fourniture d'un service connexe par le fournisseur; |
| 17) | "données facilement accessibles": les données relatives à un produit et les données relatives à un service connexe qu'un détenteur de données obtient légalement ou peut obtenir légalement à partir du produit connecté ou du service connexe, sans effort disproportionné allant au-delà d'une simple opération; |
| 18) | "secret d'affaires": un secret d'affaires au sens de l'article 2, point 1), de la directive (UE) 2016/943; |
| 19) | "détenteur de secrets d'affaires": un détenteur de secrets d'affaires au sens de l'article 2, point 2), de la directive (UE) 2016/943; |
| 20) | "profilage": le profilage au sens de l'article 4, point 4), du règlement (UE) 2016/679; |
| 21) | "mise à disposition sur le marché": toute fourniture d'un produit connecté destiné à être distribué, consommé ou utilisé sur le marché de l'Union dans le cadre d'une activité commerciale, à titre onéreux ou gratuit; |
| 22) | "mise sur le marché": la première mise à disposition d'un produit connecté sur le marché de l'Union; |
| 23) | "consommateur": toute personne physique qui agit à des fins qui n'entrent pas dans le cadre de son activité commerciale, industrielle, artisanale ou libérale; |
| 24) | "entreprise": une personne physique ou morale qui, en ce qui concerne les contrats et pratiques relevant du présent règlement, agit à des fins liées à son activité commerciale, industrielle, artisanale ou libérale; |
| 25) | "petite entreprise": une petite entreprise telle qu'elle est définie à l'article 2, paragraphe 2, de l'annexe de la recommandation 2003/361/CE; |
| 26) | "microentreprise": une microentreprise telle qu'elle est définie à l'article 2, paragraphe 3, de l'annexe de la recommandation 2003/361/CE; |
| 27) | "organes de l'Union": les organes et organismes de l'Union mis en place par ou en vertu des actes adoptés sur la base du traité sur l'Union européenne, du traité sur le fonctionnement de l'Union européenne ou du traité instituant la Communauté européenne de l'énergie atomique; |
| 28) | "organismes du secteur public": les autorités nationales, régionales ou locales des États membres et les organismes de droit public des États membres ou les associations formées par une ou plusieurs de ces autorités ou un ou plusieurs de ces organismes; |
| 29) | " situation d'urgence": une situation exceptionnelle, d'une durée limitée, telle qu'une urgence de santé publique, une urgence résultant d'une catastrophe naturelle ou d'une catastrophe majeure d'origine humaine, y compris un incident majeur de cybersécurité, ayant une incidence négative sur la population de l'Union ou sur l'ensemble ou une partie d'un État membre, entraînant un risque de répercussions graves et durables sur les conditions de vie ou la stabilité économique, la stabilité financière, ou la détérioration substantielle et immédiate d'actifs économiques dans l'Union ou l'État membre concerné, et qui est déterminée ou officiellement déclarée conformément aux procédures pertinentes prévues par le droit de l'Union ou le droit national; |
| 30) | "client": une personne physique ou morale qui a noué une relation contractuelle avec un fournisseur de services de traitement de données dans le but d'utiliser un ou plusieurs services de traitement de données; |
| 31) | "assistants virtuels": des logiciels capables de traiter des demandes, des tâches ou des questions, notamment celles fondées sur des données d'entrée sonores ou écrites, ou des gestes ou des mouvements, et qui, sur la base de ces demandes, tâches ou questions, donnent accès à d'autres services ou contrôlent les fonctions des produits connectés; |
| 32) | "actifs numériques": des éléments en format numérique, y compris des applications, pour lesquels le client est titulaire du droit d'utilisation, indépendamment de la relation contractuelle que le client a avec le service de traitement de données qu'il a l'intention de quitter; |
| 33) | "infrastructure TIC sur site": une infrastructure TIC et des ressources informatiques qui appartiennent au client, qu'il loue ou qu'il utilise en crédit-bail, situées dans le centre de données du client lui-même et exploitées par le client ou par un tiers; |
| 34) | "changement de fournisseur": le processus impliquant un fournisseur d'origine de services de traitement de données, un client d'un service de traitement de données et, le cas échéant, un fournisseur de destination de services de traitement de données, par lequel le client d'un service de traitement de données passe de l'utilisation d'un service de traitement de données à l'utilisation d'un autre service de traitement de données du même type de service, ou un autre service, proposé par un fournisseur de services de traitement de données différent, ou à une infrastructure TIC sur site, y compris par l'extraction, la transformation et le téléversement des données; |
| 35) | "frais de transfert des données": les frais de transfert de données facturés aux clients pour l'extraction de leurs données au moyen du réseau depuis l'infrastructure TIC d'un fournisseur de services de traitement de données vers le système d'un fournisseur différent ou vers une infrastructure TIC sur site; |
| 36) | "frais de changement de fournisseur": les frais, autres que les frais de service standard ou les pénalités de résiliation anticipée, imposés par un fournisseur de services de traitement de données à un client pour les actions requises par le présent règlement pour changer de fournisseur en passant au système d'un fournisseur différent ou à une infrastructure TIC sur site, y compris les frais de transfert des données; |
| 37) | "équivalence fonctionnelle": le rétablissement, sur la base des données exportables et des actifs numériques du client, d'un niveau minimal de fonctionnalité dans l'environnement d'un nouveau service de traitement de données du même type de service après le processus de changement de fournisseur, lorsque le service de traitement de données de destination donne un résultat sensiblement comparable en réponse à la même entrée pour les fonctionnalités partagées fournies au client en vertu du contrat; |
| 38) | "données exportables": aux fins des articles 23 à 31 et de l'article 35, les données d'entrée et de sortie, y compris les métadonnées, générées directement ou indirectement, ou cogénérées, par l'utilisation par le client du service de traitement de données, à l'exclusion des actifs ou des données protégés par des droits de propriété intellectuelle, ou constituant un secret d'affaires, des fournisseurs de services de traitement de données ou des tiers; |
| 39) | "contrat intelligent": un programme informatique utilisé pour l'exécution automatique d'un accord ou d'une partie de celui-ci, utilisant une séquence d'enregistrements de données électroniques et garantissant leur intégrité et l'exactitude de leur ordre chronologique; |
| 40) | "interopérabilité": la capacité d'au moins deux espaces de données ou réseaux de communication, systèmes, produits connectés, applications, services de traitement de données ou composants d'échanger et d'utiliser des données afin de remplir leurs fonctions; |
| 41) | "spécification d'interopérabilité ouverte": une spécification technique dans le domaine des technologies de l'information et de la communication qui est orientée vers les performances et la réalisation de l'interopérabilité entre les services de traitement de données; |
| 42) | "spécifications communes": un document, autre qu'une norme, contenant des solutions techniques qui permettent de satisfaire à certaines exigences et obligations établies au titre du présent règlement; |
| 43) | "norme harmonisée": une norme harmonisée au sens de l'article 2, point 1), c), du règlement (UE) no 1025/2012. |
CHAPITRE II
PARTAGE DE DONNEES ENTRE ENTREPRISES ET CONSOMMATEURS ET ENTRE ENTREPRISES
Article 3
Obligation de rendre les données relatives aux produits et les données relatives aux services connexes accessibles à l'utilisateur
1. Les produits connectés sont conçus et fabriqués, et les services connexes conçus et fournis, de telle sorte que les données relatives auxdits produits et les données relatives aux services connexes, y compris les métadonnées pertinentes nécessaires à l'interprétation et à l'utilisation de ces données, sont, par défaut, accessibles à l'utilisateur, de manière aisée, sécurisée, sans frais, dans un format complet, structuré, couramment utilisé et lisible par machine, et sont, lorsque cela est pertinent et techniquement possible, directement accessibles à l'utilisateur.
2. Avant la conclusion d'un contrat d'achat, de location ou de crédit-bail relatif à un produit connecté, le vendeur, le loueur ou le bailleur, qui peut être le fabricant, communique à l'utilisateur, de manière claire et compréhensible, au moins les informations suivantes:
| a) | le type, le format et le volume estimé des données relatives au produit que le produit connecté est capable de générer; |
| b) | si le produit connecté est capable de générer des données en continu et en temps réel; |
| c) | si le produit connecté est capable de stocker des données sur un dispositif intégré ou sur un serveur distant, y compris, le cas échéant, la durée de conservation prévue; |
| d) | la manière dont l'utilisateur peut accéder aux données, extraire les données ou, le cas échéant, les effacer, y compris les moyens techniques nécessaires pour ce faire, ainsi que leurs conditions d'utilisation et leur qualité de service. |
3. Avant la conclusion d'un contrat relatif à la fourniture d'un service connexe, le fournisseur d'un tel service connexe communique à l'utilisateur, de manière claire et compréhensible, au moins les informations suivantes:
| a) | la nature, le volume estimé et la fréquence de collecte des données relatives au produit que le détenteur de données potentiel devrait obtenir et, le cas échéant, les modalités selon lesquelles l'utilisateur peut accéder à ces données ou les extraire, y compris les modalités de stockage des données du détenteur de données potentiel et la durée de conservation; |
| b) | la nature et le volume estimé des données relatives aux services connexes à générer, ainsi que les modalités selon lesquelles l'utilisateur peut avoir accès à ces données ou les extraire, y compris les modalités de stockage des données du détenteur de données potentiel et la durée de conservation; |
| c) | si le détenteur de données potentiel a l'intention d'utiliser lui-même des données facilement accessibles et les finalités pour lesquelles ces données sont utilisées, et s'il a l'intention d'autoriser un ou plusieurs tiers à utiliser les données pour des finalités convenues avec l'utilisateur; |
| d) | l'identité du détenteur de données potentiel, telle que sa raison sociale et l'adresse géographique à laquelle il est établi et, le cas échéant, des autres parties au traitement de données; |
| e) | les moyens de communication qui permettent de contacter rapidement le détenteur de données potentiel et de communiquer efficacement avec lui; |
| f) | la manière dont l'utilisateur peut demander à ce que les données soient partagées avec un tiers et, le cas échéant, mettre un terme au partage des données; |
| g) | le droit de l'utilisateur d'introduire une réclamation pour infraction aux dispositions du présent chapitre auprès de l'autorité compétente désignée en vertu de l'article 37; |
| h) | si un détenteur de données potentiel est le détenteur de secrets d'affaires contenus dans les données qui sont accessibles à partir du produit connecté ou générées au cours de la fourniture d'un service connexe, et, lorsque le détenteur de données potentiel n'est pas le détenteur de secrets d'affaires, l'identité du détenteur de secrets d'affaires; |
| i) | la durée du contrat entre l'utilisateur et le détenteur de données potentiel, ainsi que les modalités de résiliation de ce contrat. |
Article 10
Règlement des litiges
1. Les utilisateurs, les détenteurs de données et les destinataires de données ont accès à un organe de règlement des litiges, certifié conformément au paragraphe 5 du présent article, pour régler les litiges en vertu de l'article 4, paragraphes 3 et 9, et de l'article 5, paragraphe 12, ainsi que les litiges portant sur les modalités et conditions équitables, raisonnables et non discriminatoires applicables à la mise à disposition de données et à la façon de mettre ces données à disposition en toute transparence conformément au présent chapitre et au chapitre IV.
2. Les organes de règlement des litiges informent les parties concernées des frais, ou des mécanismes utilisés pour les déterminer, avant que ces parties ne demandent une décision.
3. Pour les litiges portés devant un organe de règlement des litiges en vertu de l'article 4, paragraphes 3 et 9, et de l'article 5, paragraphe 12, lorsque l'organe de règlement des litiges se prononce sur un litige en faveur de l'utilisateur ou du destinataire de données, le détenteur de données supporte tous les frais facturés par l'organe de règlement des litiges et rembourse à cet utilisateur ou à ce destinataire de données toute autre dépense raisonnable qu'il a supportée en lien avec le règlement du litige. Lorsque l'organe de règlement des litiges se prononce sur un litige en faveur du détenteur de données, l'utilisateur ou le destinataire de données n'est pas tenu de rembourser les frais ou autres dépenses que le détenteur de données a engagés ou dont il est redevable en lien avec le règlement du litige, à moins que l'organe de règlement des litiges ne constate que l'utilisateur ou le destinataire de données a manifestement agi de mauvaise foi.
4. Les clients et les fournisseurs de services de traitement de données ont accès à un organe de règlement des litiges, certifié conformément au paragraphe 5 du présent article, pour régler les litiges relatifs aux violations des droits des clients et aux obligations des fournisseurs de services de traitement de données conformément aux articles 23 à 31.
5. L'État membre dans lequel l'organe de règlement des litiges est établi certifie cet organe à sa demande, lorsqu'il a démontré qu'il remplit toutes les conditions suivantes:
| a) | il est impartial et indépendant et doit rendre ses décisions conformément à des règles de procédure claires, non discriminatoires et équitables; |
| b) | il dispose de l'expertise nécessaire, en particulier en ce qui concerne les modalités et conditions équitables, raisonnables et non discriminatoires, y compris en matière de compensation, et en ce qui concerne la mise à disposition de données en toute transparence, ce qui permet à l'organisme de déterminer efficacement ces modalités et conditions; |
| c) | il est facilement accessible au moyen de technologies de communication électronique; |
| d) | il est en mesure d'adopter ses décisions de manière rapide, efficace et économiquement avantageuse, dans au moins une langue officielle de l'Union. |
6. Les États membres notifient à la Commission la liste des organes de règlement des litiges certifiés conformément au paragraphe 5. La Commission publie une liste de ces organes sur un site internet spécifique et la tient à jour.
7. Un organe de règlement des litiges refuse de traiter une demande de règlement d'un litige qui a déjà été porté devant un autre organe de règlement des litiges ou devant une juridiction d'un État membre.
8. Un organe de règlement des litiges donne aux parties la possibilité, dans un délai raisonnable, d'exprimer leur point de vue sur les questions qu'elles ont soumises à cet organe. Dans ce contexte, chaque partie à un litige se voit communiquer les observations de l'autre partie au litige et toute déclaration faite par des experts. Les parties ont la possibilité de formuler des observations sur ces observations et déclarations.
9. Un organe de règlement des litiges prend sa décision sur toute question qui lui est soumise dans un délai de 90 jours à compter de la réception d'une demande présentée en vertu des paragraphes 1 et 4. Cette décision est formulée par écrit ou sur un support durable et est étayée par un exposé des motifs.
10. Les organes de règlement des litiges rédigent et rendent publics des rapports annuels d'activité. Ces rapports annuels incluent en particulier les informations générales suivantes:
| a) | une agrégation des résultats des litiges; |
| b) | le laps de temps moyen nécessaire à la résolution des litiges; |
| c) | les causes les plus courantes de litiges. |
11. Afin de faciliter l'échange d'informations et de bonnes pratiques, un organe de règlement des litiges peut décider d'inclure des recommandations dans le rapport visé au paragraphe 10 sur la manière dont les problèmes peuvent être évités ou résolus.
12. La décision d'un organe de règlement des litiges n'est contraignante pour les parties que si celles-ci ont expressément consenti à son caractère contraignant avant le début de la procédure de règlement du litige.
13. Le présent article ne porte pas atteinte au droit des parties de former un recours effectif devant une juridiction d'un État membre.
Article 29
Suppression progressive des frais de changement de fournisseur
1. À compter du 12 janvier 2027, les fournisseurs de services de traitement de données ne peuvent imposer aucun frais de changement de fournisseur au client pour le processus de changement de fournisseur.
2. À compter du 11 janvier 2024 et jusqu'au 12 janvier 2027, les fournisseurs de services de traitement de données peuvent imposer des frais de changement de fournisseur réduits au client, pour le processus de changement de fournisseur.
3. Les frais de changement de fournisseur réduits visés au paragraphe 2 ne dépassent pas les coûts supportés par le fournisseur de services de traitement de données qui sont directement liés au processus de changement de fournisseur concerné.
4. Avant de conclure un contrat avec un client, les fournisseurs de services de traitement de données fournissent au client potentiel des informations claires sur les frais de service standard et les pénalités liées à la résiliation anticipée qui pourraient lui être facturés, ainsi que sur les frais de changement de fournisseur réduits qui pourraient lui être facturés pendant le délai visé au paragraphe 2.
5. Le cas échéant, les fournisseurs de services de traitement de données communiquent à un client des informations sur les services de traitement de données pour lesquels un changement de fournisseur est très complexe ou coûteux ou pour lesquels il est impossible de changer de fournisseur sans qu'il y ait une interférence significative portant sur les données, les actifs numériques ou l'architecture des services.
6. Le cas échéant, les fournisseurs de services de traitement de données mettent les informations visées aux paragraphes 4 et 5 à la disposition des clients publiquement au travers d'une section spécifique de leur site internet ou par tout autre moyen facilement accessible.
7. La Commission est habilitée à adopter des actes délégués conformément à l'article 45 pour compléter le présent règlement en mettant en place un mécanisme de suivi permettant à la Commission de suivre les frais de changement de fournisseur imposés par les fournisseurs de services de traitement de données sur le marché afin de garantir que la suppression et la réduction des frais de changement de fournisseur en vertu des paragraphes 1 et 2 du présent article sont réalisées dans les délais prévus aux mêmes paragraphes.
Article 30
Aspects techniques du changement de fournisseur
1. Les fournisseurs de services de traitement de données qui concernent des ressources informatiques modulables et variables limitées à des éléments d'infrastructure tels que les serveurs, les réseaux et les ressources virtuelles nécessaires à l'exploitation de l'infrastructure, sans donner accès aux services, logiciels et applications d'exploitation qui sont stockés, autrement traités ou déployés sur ces éléments d'infrastructure, prennent, conformément à l'article 27, toutes les mesures raisonnables en leur pouvoir afin de faciliter une équivalence fonctionnelle pour le client dans l'utilisation du service de traitement de données de destination, après qu'il soit passé à un service couvrant le même type de service. Le fournisseur d'origine de services de traitement de données facilite le processus de changement de fournisseur en fournissant des capacités, les informations adéquates, de la documentation, une assistance technique et, le cas échéant, les outils nécessaires.
2. Les fournisseurs de services de traitement de données, autres que ceux visés au paragraphe 1, mettent gratuitement et dans la même mesure à la disposition de tous leurs clients et des fournisseurs de destination de services de traitement de données concernés des interfaces ouvertes afin de faciliter le processus de changement de fournisseur. Ces interfaces contiennent des informations suffisantes sur le service concerné pour permettre le développement de logiciels capables de communiquer avec les services, aux fins de la portabilité et de l'interopérabilité des données.
3. Pour les services de traitement de données autres que ceux visés au paragraphe 1 du présent article, les fournisseurs de services de traitement de données assurent la compatibilité avec les spécifications communes fondées sur des spécifications d'interopérabilité ouvertes ou les normes harmonisées d'interopérabilité au moins douze mois après que les références à ces spécifications communes ou à ces normes harmonisées pour l'interopérabilité des services de traitement des données ont été publiées dans le répertoire central des normes de l'Union pour l'interopérabilité des services de traitement de données à la suite de la publication des actes d'exécution sous-jacents au Journal officiel de l'Union européenne conformément à l'article 35, paragraphe 8.
4. Les fournisseurs de services de traitement de données autres que ceux visés au paragraphe 1 du présent article mettent à jour le registre en ligne visé à l'article 26, point b), conformément aux obligations qui leur incombent au titre du paragraphe 3 du présent article.
5. En cas de changement de services du même type de service, pour lequel des spécifications communes ou des normes harmonisées pour l'interopérabilité visées au paragraphe 3 du présent article n'ont pas été publiées dans le répertoire central des normes de l'Union pour l'interopérabilité des services de traitement de données conformément à l'article 35, paragraphe 8, le fournisseur des services de traitement de données exporte, à la demande du client, toutes les données exportables, dans un format structuré, couramment utilisé et lisible par machine.
6. Les fournisseurs de services de traitement de données ne sont pas tenus de développer de nouvelles technologies ou de nouveaux services, ou de divulguer ou transférer des actifs numériques qui sont protégés par des droits de propriété intellectuelle ou qui constituent un secret d'affaires, à un client ou à un fournisseur de services de traitement de données différent ou de compromettre la sécurité et l'intégrité du service du client ou du fournisseur.
Article 37
Autorités compétentes et coordinateurs de données
1. Chaque État membre désigne une ou plusieurs autorités compétentes chargées de l'application et de l'exécution du présent règlement (ci-après dénommées "autorités compétentes"). Les États membres peuvent mettre en place une ou plusieurs nouvelles autorités ou s'appuyer sur des autorités existantes.
2. Lorsqu'un État membre désigne plus d'une autorité compétente, il désigne un coordinateur de données parmi celles-ci afin de faciliter la coopération entre les autorités compétentes et afin d'aider les entités relevant du champ d'application du présent règlement sur toutes les questions liées à son application et à son exécution. Les autorités compétentes coopèrent entre elles dans l'exercice des missions et pouvoirs qui leur sont conférés au titre du paragraphe 5.
3. Les autorités de contrôle chargées de surveiller l'application du règlement (UE) 2016/679 sont chargées de surveiller l'application du présent règlement en ce qui concerne la protection des données à caractère personnel. Les chapitres VI et VII du règlement (UE) 2016/679 s'appliquent mutatis mutandis.
Le Contrôleur européen de la protection des données est chargé de surveiller l'application du présent règlement dans la mesure où il concerne la Commission, la Banque centrale européenne ou des organes de l'Union. Le cas échéant, l'article 62 du règlement (UE) 2018/1725 s'applique mutatis mutandis.
Les autorités de contrôle visées au présent paragraphe exercent leurs missions et leurs pouvoirs à l'égard du traitement des données à caractère personnel.
4. Sans préjudice du paragraphe 1 du présent article:
| a) | pour les questions spécifiques sur l'accès aux données sectorielles et leur utilisation en lien avec l'application du présent règlement, la compétence des autorités sectorielles est respectée; |
| b) | l'autorité compétente chargée de l'application et de l'exécution des articles 23 à 31 et des articles 34 et 35 dispose d'une expérience dans le domaine des données et des services de communications électroniques. |
5. Les États membres veillent à ce que les missions et pouvoirs des autorités compétentes soient clairement définis et incluent:
| a) | la promotion de l'éducation aux données et la sensibilisation des utilisateurs et des entités relevant du champ d'application du présent règlement aux droits et obligations découlant du présent règlement; |
| b) | le traitement des réclamations découlant des infractions alléguées au présent règlement, y compris en lien avec des secrets d'affaires, l'examen de l'objet de la réclamation, dans la mesure nécessaire, et l'information à intervalles réguliers de l'auteur de la réclamation, le cas échéant conformément au droit national, sur l'état d'avancement et l'issue de l'enquête dans un délai raisonnable, notamment si un complément d'enquête ou une coordination avec une autre autorité compétente est nécessaire; |
| c) | la réalisation d'enquêtes sur des questions concernant l'application du présent règlement, y compris sur la base d'informations reçues d'une autre autorité compétente ou d'une autre autorité publique; |
| d) | l'imposition de sanctions financières effectives, proportionnées et dissuasives, pouvant comporter des astreintes et des sanctions avec effet rétroactif, ou l'engagement de procédures judiciaires en vue d'infliger des amendes; |
| e) | le suivi des évolutions technologiques et commerciales pertinentes pour la mise à disposition et l'utilisation des données; |
| f) | la coopération avec les autorités compétentes d'autres États membres, et, le cas échéant, avec la Commission ou le comité européen de l'innovation dans le domaine des données, pour garantir l'application cohérente et efficace du présent règlement, y compris l'échange de toutes les informations pertinentes par voie électronique, sans retard injustifié, y compris en ce qui concerne le paragraphe 10 du présent article; |
| g) | la coopération avec les autorités compétentes concernées chargées de la mise en œuvre d'autres actes juridiques de l'Union ou nationaux, y compris avec les autorités compétentes dans le domaine des données et des services de communications électroniques, avec l'autorité de contrôle chargée de surveiller l'application du règlement (UE) 2016/679 ou avec les autorités sectorielles afin de veiller à ce que le présent règlement soit appliqué de manière cohérente par rapport aux autres dispositions du droit de l'Union et du droit national; |
| h) | la coopération avec les autorités compétentes concernées afin de veiller à ce que les articles 23 à 31 et les articles 34 et 35 soient exécutées de manière cohérente par rapport au droit de l'Union et aux mesures d'autoréglementation applicables aux fournisseurs de services de traitement de données; |
| i) | l'assurance que les frais de changement de fournisseur sont supprimés conformément à l'article 29; |
| j) | l'examen des demandes de données introduites en application du chapitre V. |
Lorsqu'un coordinateur de données a été désigné, il facilite la coopération visée aux points f), g) et h) du premier alinéa et assiste les autorités compétentes à leur demande.
6. Lorsqu'une telle autorité compétente a été désignée, le coordinateur de données:
| a) | fait office de point de contact unique pour toutes les questions liées à l'application du présent règlement; |
| b) | veille à ce que soient mises à la disposition du public en ligne les demandes de mise à disposition des données présentées par des organismes du secteur public en cas de besoin exceptionnel au titre du chapitre V et encourage les accords de partage volontaire de données entre les organismes du secteur public et les détenteurs de données; |
| c) | informe annuellement la Commission des refus notifiés au titre de l'article 4, paragraphes 2 et 8, et de l'article 5, paragraphe 11. |
7. Les États membres communiquent à la Commission le nom des autorités compétentes ainsi que leurs missions et pouvoirs et, le cas échéant, le nom du coordinateur de données. La Commission tient un registre public de ces autorités.
8. Lorsqu'elles accomplissent leurs missions et exercent leurs pouvoirs conformément au présent règlement, les autorités compétentes restent impartiales et libres de toute influence extérieure, qu'elle soit directe ou indirecte, et ne sollicitent ni n'acceptent, pour des cas individuels, d'instructions d'aucune autre autorité publique ni d'aucune entité privée.
9. Les États membres veillent à ce que les autorités compétentes disposent de ressources humaines et techniques suffisantes et de l'expertise adéquate pour s'acquitter efficacement de leurs missions conformément au présent règlement.
10. Les entités relevant du champ d'application du présent règlement sont soumises à la compétence de l'État membre dans lequel elles sont établies. Lorsque l'entité est établie dans plus d'un État membre, elle est considérée comme relevant de la compétence de l'État membre dans lequel se trouve son établissement principal, c'est-à-dire là où l'entité a son siège social ou son siège statutaire d'où sont exercés les principales fonctions financières et le contrôle opérationnel.
11. Toute entité relevant du champ d'application du présent règlement qui met des produits connectés à disposition ou propose des services connexes dans l'Union et qui n'est pas établie dans l'Union désigne un représentant légal dans l'un des États membres.
12. Aux fins de garantir le respect du présent règlement, un représentant légal est mandaté par une entité relevant du champ d'application du présent règlement qui met des produits connectés à disposition ou propose des services connexes dans l'Union pour être contacté, en plus de ladite entité ou à sa place, par les autorités compétentes en ce qui concerne toutes les questions liées à cette entité. Ce représentant légal coopère avec les autorités compétentes et leur démontre de manière exhaustive, sur demande, les mesures prises et les dispositions mises en place par l'entité relevant du champ d'application du présent règlement qui met des produits connectés à disposition ou propose des services connexes dans l'Union pour garantir le respect du présent règlement.
13. Une entité relevant du champ d'application du présent règlement qui met à disposition des produits connectés ou propose des services dans l'Union est considérée comme relevant de la compétence de l'État membre dans lequel se trouve son représentant légal. La désignation d'un représentant légal par une telle entité est sans préjudice de la responsabilité de cette entité et des actions en justice qui pourraient être intentées contre elle. Jusqu'à ce qu'une entité désigne un représentant légal conformément au présent article, elle relève de la compétence de tous les États membres, le cas échéant, aux fins de garantir l'application et l'exécution du présent règlement. Toute autorité compétente peut exercer sa compétence, y compris en imposant des sanctions effectives, proportionnées et dissuasives, pour autant que l'entité ne fasse pas l'objet d'une procédure d'exécution au titre du présent règlement portant sur les mêmes faits par une autre autorité compétente.
14. Les autorités compétentes sont habilitées à demander aux utilisateurs, aux détenteurs de données ou aux destinataires de données, ou à leurs représentants légaux, qui relèvent de la compétence de leur État membre toutes les informations nécessaires pour vérifier le respect du présent règlement. Toute demande d'information est proportionnée à l'accomplissement de la mission sous-jacente et est motivée.
15. Lorsqu'une autorité compétente dans un État membre sollicite l'assistance d'une autorité compétente d'un autre État membre ou l'application de mesures d'exécution par celle-ci, elle présente une demande motivée. Lorsqu'elle reçoit une telle demande, une autorité compétente fournit, sans retard injustifié, une réponse détaillant les mesures qui ont été prises ou qu'il est prévu de prendre.
16. Les autorités compétentes respectent les principes de confidentialité et de secret professionnel et commercial et protègent les données à caractère personnel conformément au droit de l'Union ou au droit national. Toutes les informations échangées dans le cadre d'une demande d'assistance et fournies en vertu du présent article ne sont utilisées qu'aux fins pour lesquelles elles ont été demandées.
whereas