keyboard_tab Data Act 2023/2854 FR
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Article 2 Définitions
- 4 Article 13 Clauses contractuelles abusives imposées unilatéralement à une autre entreprise
- 1 Article 22 Assistance mutuelle et coopération transfrontière
- 1 Article 33 Exigences essentielles concernant l'interopérabilité des données, des mécanismes et des services de partage des données ainsi que des espaces européens communs de données
- 1 Article 36 Exigences essentielles concernant les contrats intelligents pour l'exécution des accords de partage de données
- 1 Article 37 Autorités compétentes et coordinateurs de données
- 1 Article 44 Autres actes juridiques de l'Union régissant les droits et obligations relatifs à l'accès aux données et à leur utilisation
CHAPITRE I
DISPOSITIONS GENERALES
CHAPITRE II
PARTAGE DE DONNEES ENTRE ENTREPRISES ET CONSOMMATEURS ET ENTRE ENTREPRISES
CHAPITRE III
OBLIGATIONS APPLICABLES AUX DETENTEURS DE DONNEES TENUS DE METTRE DES DONNEES A DISPOSITION EN VERTU DU DROIT DE L'UNION
CHAPITRE IV
CLAUSES CONTRACTUELLES ABUSIVES RELATIVES A L'ACCES AUX DONNEES ET A L'UTILISATION DES DONNEES ENTRE ENTREPRISES
CHAPITRE V
MISE A LA DISPOSITION D'ORGANISMES DU SECTEUR PUBLIC, DE LA COMMISSION, DE LA BANQUE CENTRALE EUROPEENNE ET D'ORGANES DE L'UNION DE DONNEES SUR LE FONDEMENT D'UN BESOIN EXCEPTIONNEL
CHAPITRE VI
CHANGEMENT DE SERVICES DE TRAITEMENT DE DONNEES
CHAPITRE VII
ACCES INTERNATIONAL ILLICITE AUX DONNEES A CARACTERE NON PERSONNEL ET TRANSFERT INTERNATIONAL ILLICITE DE CES DONNEES PAR LES AUTORITES PUBLIQUES
CHAPITRE VIII
INTEROPERABILITE
CHAPITRE IX
MISE EN ŒUVRE ET EXECUTION
CHAPITRE X
DROIT SUI GENERIS PREVU PAR LA DIRECTIVE 96/9/CE
CHAPITRE XI
DISPOSITIONS FINALES
- données 150
- dans 64
- présent 56
- pour 46
- union 43
- règlement 40
- paragraphe 37
- article 36
- sont 34
- exigences 34
- commission 33
- partie 30
- exécution 29
- services 28
- service 28
- autorités 26
- droit 25
- clause 25
- application 25
- traitement 25
- avec 25
- contrat 25
- conformément 23
- autre 23
- essentielles 23
- demande 23
- elle 22
- actes 22
- utilisation 21
- été 21
- prévues 20
- accès 19
- unilatéralement 19
- européenne 18
- disposition 18
- autorité 18
- article 18
- État 17
- compétentes 17
- autres 17
- produit 17
- membre 17
- normes 16
- compris 15
- compétente 15
- échéant 15
- mise 14
- les 14
- parties 14
- harmonisées 13
Article 2
Définitions
Aux fins du présent règlement, on entend par:
| 1) | "données": toute représentation numérique d'actes, de faits ou d'informations et toute compilation de ces actes, faits ou informations, notamment sous la forme d'enregistrements sonores, visuels ou audiovisuels; |
| 2) | "métadonnées": une description structurée du contenu ou de l'utilisation des données qui facilite la découverte ou l'utilisation de ces données; |
| 3) | "données à caractère personnel": les données à caractère personnel au sens de l'article 4, point 1), du règlement (UE) 2016/679; |
| 4) | "données à caractère non personnel": les données autres que les données à caractère personnel; |
| 5) | "produit connecté": un objet qui obtient, génère ou recueille des données concernant son utilisation ou son environnement, qui est en mesure de communiquer des données relatives au produit par l'intermédiaire d'un service de communications électroniques, d'une connexion physique ou d'un dispositif d'accès intégré et dont la fonction première n'est pas de stocker, de traiter ou de transmettre des données pour le compte de toute partie autre que l'utilisateur; |
| 6) | "service connexe": un service numérique, autre qu'un service de communications électroniques, y compris un logiciel, qui est connecté au produit au moment de l'achat, ou de la mise en location ou en crédit-bail, de telle sorte que son absence empêcherait le produit connecté d'exécuter une ou plusieurs de ses fonctions, ou qui est ensuite connecté au produit par le fabricant ou un tiers pour ajouter, mettre à jour ou adapter les fonctions du produit connecté; |
| 7) | "traitement": toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliqués à des données ou à des ensembles de données, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou d'autres moyens de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction; |
| 8) | "service de traitement de données": un service numérique qui est fourni à un client et qui permet un accès par réseau en tout lieu et à la demande à un ensemble partagé de ressources informatiques configurables, modulables et variables de nature centralisée, distribuée ou fortement distribuée, qui peuvent être rapidement mobilisées et libérées avec un minimum d'efforts de gestion ou d'interaction avec le fournisseur de services; |
| 9) | "même type de service": un ensemble de services de traitement de données qui partagent le même objectif principal, le même modèle de service de traitement de données et les principales fonctionnalités; |
| 10) | "service d'intermédiation de données": le service d'intermédiation de données au sens de l'article 2, point 11), du règlement (UE) 2022/868; |
| 11) | "personne concernée": la personne concernée telle qu'elle est visée à l'article 4, point 1), du règlement (UE) 2016/679; |
| 12) | "utilisateur": une personne physique ou morale à laquelle appartient un produit connecté ou à laquelle des droits temporaires d'utilisation de ce produit connecté ont été cédés contractuellement, ou qui reçoit des services connexes; |
| 13) | "détenteur de données": une personne physique ou morale qui, conformément au présent règlement, aux dispositions applicables du droit de l'Union ou à la législation nationale adoptée conformément au droit de l'Union, a le droit ou l'obligation d'utiliser et de mettre à disposition des données, y compris, lorsqu'il en a été convenu par contrat, des données relatives au produit ou des données relatives au service connexe qu'elle a extraites ou générées au cours de la fourniture d'un service connexe; |
| 14) | "destinataire de données": une personne physique ou morale, autre que l'utilisateur d'un produit connecté ou d'un service connexe, agissant à des fins qui sont liées à son activité commerciale, industrielle, artisanale ou libérale, à la disposition duquel le détenteur de données met des données, y compris un tiers lorsque l'utilisateur a adressé une demande au détenteur de données ou conformément à une obligation légale découlant du droit de l'Union ou de la législation nationale adoptée conformément au droit de l'Union; |
| 15) | "données relatives au produit": les données générées par l'utilisation d'un produit connecté que le fabricant a conçu pour qu'elles puissent être extraites, au moyen d'un service de communications électroniques, d'une connexion physique ou d'un dispositif d'accès intégré, par un utilisateur, un détenteur de données ou un tiers, y compris, le cas échéant, le fabricant; |
| 16) | "données relatives au service connexe": les données représentant la numérisation des actions de l'utilisateur ou des événements liés au produit connecté, enregistrées intentionnellement par l'utilisateur ou générées en tant que produit annexe de l'action de l'utilisateur lors de la fourniture d'un service connexe par le fournisseur; |
| 17) | "données facilement accessibles": les données relatives à un produit et les données relatives à un service connexe qu'un détenteur de données obtient légalement ou peut obtenir légalement à partir du produit connecté ou du service connexe, sans effort disproportionné allant au-delà d'une simple opération; |
| 18) | "secret d'affaires": un secret d'affaires au sens de l'article 2, point 1), de la directive (UE) 2016/943; |
| 19) | "détenteur de secrets d'affaires": un détenteur de secrets d'affaires au sens de l'article 2, point 2), de la directive (UE) 2016/943; |
| 20) | "profilage": le profilage au sens de l'article 4, point 4), du règlement (UE) 2016/679; |
| 21) | "mise à disposition sur le marché": toute fourniture d'un produit connecté destiné à être distribué, consommé ou utilisé sur le marché de l'Union dans le cadre d'une activité commerciale, à titre onéreux ou gratuit; |
| 22) | "mise sur le marché": la première mise à disposition d'un produit connecté sur le marché de l'Union; |
| 23) | "consommateur": toute personne physique qui agit à des fins qui n'entrent pas dans le cadre de son activité commerciale, industrielle, artisanale ou libérale; |
| 24) | "entreprise": une personne physique ou morale qui, en ce qui concerne les contrats et pratiques relevant du présent règlement, agit à des fins liées à son activité commerciale, industrielle, artisanale ou libérale; |
| 25) | "petite entreprise": une petite entreprise telle qu'elle est définie à l'article 2, paragraphe 2, de l'annexe de la recommandation 2003/361/CE; |
| 26) | "microentreprise": une microentreprise telle qu'elle est définie à l'article 2, paragraphe 3, de l'annexe de la recommandation 2003/361/CE; |
| 27) | "organes de l'Union": les organes et organismes de l'Union mis en place par ou en vertu des actes adoptés sur la base du traité sur l'Union européenne, du traité sur le fonctionnement de l'Union européenne ou du traité instituant la Communauté européenne de l'énergie atomique; |
| 28) | "organismes du secteur public": les autorités nationales, régionales ou locales des États membres et les organismes de droit public des États membres ou les associations formées par une ou plusieurs de ces autorités ou un ou plusieurs de ces organismes; |
| 29) | " situation d'urgence": une situation exceptionnelle, d'une durée limitée, telle qu'une urgence de santé publique, une urgence résultant d'une catastrophe naturelle ou d'une catastrophe majeure d'origine humaine, y compris un incident majeur de cybersécurité, ayant une incidence négative sur la population de l'Union ou sur l'ensemble ou une partie d'un État membre, entraînant un risque de répercussions graves et durables sur les conditions de vie ou la stabilité économique, la stabilité financière, ou la détérioration substantielle et immédiate d'actifs économiques dans l'Union ou l'État membre concerné, et qui est déterminée ou officiellement déclarée conformément aux procédures pertinentes prévues par le droit de l'Union ou le droit national; |
| 30) | "client": une personne physique ou morale qui a noué une relation contractuelle avec un fournisseur de services de traitement de données dans le but d'utiliser un ou plusieurs services de traitement de données; |
| 31) | "assistants virtuels": des logiciels capables de traiter des demandes, des tâches ou des questions, notamment celles fondées sur des données d'entrée sonores ou écrites, ou des gestes ou des mouvements, et qui, sur la base de ces demandes, tâches ou questions, donnent accès à d'autres services ou contrôlent les fonctions des produits connectés; |
| 32) | "actifs numériques": des éléments en format numérique, y compris des applications, pour lesquels le client est titulaire du droit d'utilisation, indépendamment de la relation contractuelle que le client a avec le service de traitement de données qu'il a l'intention de quitter; |
| 33) | "infrastructure TIC sur site": une infrastructure TIC et des ressources informatiques qui appartiennent au client, qu'il loue ou qu'il utilise en crédit-bail, situées dans le centre de données du client lui-même et exploitées par le client ou par un tiers; |
| 34) | "changement de fournisseur": le processus impliquant un fournisseur d'origine de services de traitement de données, un client d'un service de traitement de données et, le cas échéant, un fournisseur de destination de services de traitement de données, par lequel le client d'un service de traitement de données passe de l'utilisation d'un service de traitement de données à l'utilisation d'un autre service de traitement de données du même type de service, ou un autre service, proposé par un fournisseur de services de traitement de données différent, ou à une infrastructure TIC sur site, y compris par l'extraction, la transformation et le téléversement des données; |
| 35) | "frais de transfert des données": les frais de transfert de données facturés aux clients pour l'extraction de leurs données au moyen du réseau depuis l'infrastructure TIC d'un fournisseur de services de traitement de données vers le système d'un fournisseur différent ou vers une infrastructure TIC sur site; |
| 36) | "frais de changement de fournisseur": les frais, autres que les frais de service standard ou les pénalités de résiliation anticipée, imposés par un fournisseur de services de traitement de données à un client pour les actions requises par le présent règlement pour changer de fournisseur en passant au système d'un fournisseur différent ou à une infrastructure TIC sur site, y compris les frais de transfert des données; |
| 37) | "équivalence fonctionnelle": le rétablissement, sur la base des données exportables et des actifs numériques du client, d'un niveau minimal de fonctionnalité dans l'environnement d'un nouveau service de traitement de données du même type de service après le processus de changement de fournisseur, lorsque le service de traitement de données de destination donne un résultat sensiblement comparable en réponse à la même entrée pour les fonctionnalités partagées fournies au client en vertu du contrat; |
| 38) | "données exportables": aux fins des articles 23 à 31 et de l'article 35, les données d'entrée et de sortie, y compris les métadonnées, générées directement ou indirectement, ou cogénérées, par l'utilisation par le client du service de traitement de données, à l'exclusion des actifs ou des données protégés par des droits de propriété intellectuelle, ou constituant un secret d'affaires, des fournisseurs de services de traitement de données ou des tiers; |
| 39) | "contrat intelligent": un programme informatique utilisé pour l'exécution automatique d'un accord ou d'une partie de celui-ci, utilisant une séquence d'enregistrements de données électroniques et garantissant leur intégrité et l'exactitude de leur ordre chronologique; |
| 40) | "interopérabilité": la capacité d'au moins deux espaces de données ou réseaux de communication, systèmes, produits connectés, applications, services de traitement de données ou composants d'échanger et d'utiliser des données afin de remplir leurs fonctions; |
| 41) | "spécification d'interopérabilité ouverte": une spécification technique dans le domaine des technologies de l'information et de la communication qui est orientée vers les performances et la réalisation de l'interopérabilité entre les services de traitement de données; |
| 42) | "spécifications communes": un document, autre qu'une norme, contenant des solutions techniques qui permettent de satisfaire à certaines exigences et obligations établies au titre du présent règlement; |
| 43) | "norme harmonisée": une norme harmonisée au sens de l'article 2, point 1), c), du règlement (UE) no 1025/2012. |
CHAPITRE II
PARTAGE DE DONNEES ENTRE ENTREPRISES ET CONSOMMATEURS ET ENTRE ENTREPRISES
Article 13
Clauses contractuelles abusives imposées unilatéralement à une autre entreprise
1. Une clause contractuelle concernant l'accès aux données et l'utilisation des données ou la responsabilité et les voies de recours en cas de violation ou d'extinction d'obligations liées aux données qu'une entreprise a imposée unilatéralement à une autre entreprise ne lie pas cette dernière entreprise si elle est abusive.
2. Une clause contractuelle qui reflète des dispositions impératives du droit de l'Union ou des dispositions du droit de l'Union qui s'appliqueraient si les clauses contractuelles ne réglaient pas la question n'est pas considérée comme étant abusive.
3. Une clause contractuelle est abusive si elle est d'une nature telle que son utilisation s'écarte manifestement des bonnes pratiques commerciales en matière d'accès aux données et d'utilisation des données, contrairement à la bonne foi et à un usage loyal.
4. En particulier, aux fins du paragraphe 3, une clause contractuelle est abusive si elle a pour objet ou pour effet:
| a) | d'exclure ou de limiter la responsabilité de la partie qui a unilatéralement imposé la clause en cas d'actes intentionnels ou de négligence grave; |
| b) | d'exclure les voies de recours dont dispose la partie à laquelle la clause a été unilatéralement imposée en cas d'inexécution d'obligations contractuelles ou la responsabilité de la partie qui a unilatéralement imposé la clause en cas de manquement à ces obligations; |
| c) | de donner à la partie qui a unilatéralement imposé la clause le droit exclusif de déterminer si les données fournies sont conformes au contrat ou d'interpréter toute clause contractuelle. |
5. Aux fins du paragraphe 3, une clause contractuelle est présumée être abusive si elle a pour objet ou pour effet:
| a) | de limiter de manière inappropriée les voies de recours en cas d'inexécution des obligations contractuelles ou la responsabilité en cas de manquement à ces obligations, ou d'étendre la responsabilité de l'entreprise à laquelle la clause a été imposée unilatéralement; |
| b) | de permettre à la partie qui a imposé unilatéralement la clause d'avoir accès aux données de l'autre partie contractante et de les utiliser d'une manière qui porte gravement atteinte aux intérêts légitimes de l'autre partie contractante, en particulier lorsque ces données contiennent des données commercialement sensibles ou sont protégées par des secrets d'affaires ou des droits de propriété intellectuelle; |
| c) | d'empêcher la partie à laquelle la clause a été imposée unilatéralement d'utiliser les données qu'elle a fournies ou générées pendant la durée du contrat, ou de limiter l'utilisation de ces données dans la mesure où cette partie n'est pas autorisée à utiliser ou à enregistrer ces données, à y accéder ou à les contrôler ou à en exploiter la valeur de manière adéquate; |
| d) | d'empêcher la partie à laquelle la clause a été imposée unilatéralement de résilier l'accord dans un délai raisonnable; |
| e) | d'empêcher la partie à laquelle la clause a été imposée unilatéralement d'obtenir une copie des données qu'elle a fournies ou générées pendant la durée du contrat ou dans un délai raisonnable après la résiliation de celui-ci; |
| f) | de permettre à la partie qui a imposé unilatéralement la clause de résilier le contrat dans un délai excessivement court, compte tenu des possibilités dont l'autre partie contractante dispose raisonnablement pour se tourner vers un service alternatif et comparable et du préjudice financier causé par cette résiliation, sauf s'il existe des motifs sérieux de le faire; |
| g) | de permettre à la partie qui a imposé unilatéralement la clause de modifier substantiellement le prix indiqué dans le contrat ou toute autre condition de fond liée à la nature, au format, à la qualité ou à la quantité des données à partager, lorsqu'aucun motif valable ou aucun droit pour l'autre partie de résilier le contrat dans le cas d'une telle modification n’est stipulé dans le contrat. |
Le premier alinéa, point g), n'affecte pas les clauses par lesquelles la partie qui a imposé unilatéralement la clause en question se réserve le droit de modifier unilatéralement les clauses d'un contrat à durée indéterminée, pour autant que le contrat ait prévu une raison valable pour effectuer de telles modifications unilatéralement, que la partie qui a imposé unilatéralement la clause soit tenue d'informer l'autre partie contractante moyennant un préavis raisonnable de son intention d'effectuer une telle modification, et que l'autre partie contractante soit libre de résilier le contrat sans frais dans le cas d'une telle modification.
6. Une clause contractuelle est considérée comme étant imposée unilatéralement au sens du présent article si elle a été fournie par une partie contractante et si l'autre partie contractante n'a pas été en mesure d'influencer son contenu malgré une tentative de négociation. Il appartient à la partie contractante qui a fourni la clause contractuelle de prouver que cette clause n'a pas été imposée unilatéralement. La partie contractante qui a fourni la clause contractuelle faisant l'objet d'une contestation ne peut pas invoquer le caractère abusif de la clause contractuelle.
7. Lorsque la clause abusive est dissociable des autres clauses du contrat, ces dernières sont contraignantes.
8. Le présent article ne s'applique pas aux clauses contractuelles définissant l'objet principal du contrat ni à l'adéquation entre le prix et les données fournies en contrepartie.
9. Les parties à un contrat relevant du paragraphe 1 n'excluent pas l'application du présent article, n'y dérogent pas ou n'en modifient pas les effets.
CHAPITRE V
MISE A LA DISPOSITION D'ORGANISMES DU SECTEUR PUBLIC, DE LA COMMISSION, DE LA BANQUE CENTRALE EUROPEENNE ET D'ORGANES DE L'UNION DE DONNEES SUR LE FONDEMENT D'UN BESOIN EXCEPTIONNEL
Article 22
Assistance mutuelle et coopération transfrontière
1. Les organismes du secteur public, la Commission, la Banque centrale européenne et les organes de l'Union coopèrent et se prêtent mutuellement assistance afin de mettre en œuvre le présent chapitre de manière cohérente.
2. Les données échangées dans le cadre de la demande d'assistance et fournies en vertu du paragraphe 1 ne sont pas utilisées d'une manière incompatible avec la finalité pour laquelle elles ont été demandées.
3. Lorsqu'un organisme du secteur public a l'intention de demander des données à un détenteur de données établi dans un autre État membre, il notifie d'abord cette intention à l'autorité compétente désignée en vertu de l'article 37 dans ledit État membre. Cette exigence s'applique également aux demandes adressées par la Commission, la Banque centrale européenne et les organes de l'Union. La demande est examinée par l'autorité compétente de l'État membre dans lequel le détenteur de données est établi.
4. Après avoir examiné la demande à la lumière des exigences prévues à l'article 17, l'autorité compétente concernée prend, sans retard injustifié, l'une des mesures suivantes:
| a) | transmettre la demande au détenteur de données et, le cas échéant, informer l'organisme du secteur public demandeur, la Commission, la Banque centrale européenne ou l'organe de l'Union de la nécessité, le cas échéant, de coopérer avec les organismes du secteur public de l'État membre dans lequel le détenteur de données est établi, dans le but de réduire la charge administrative pesant sur le détenteur de données qui donne suite à la demande; |
| b) | rejeter la demande pour des motifs dûment étayés, conformément au présent chapitre. |
L'organisme du secteur public demandeur, la Commission, la Banque centrale européenne et l'organe de l'Union tiennent compte de l'avis de l'autorité compétente concernée et des motifs avancés par l'autorité compétente concernée en vertu du premier alinéa avant de prendre une quelconque mesure, comme soumettre à nouveau la demande, le cas échéant.
CHAPITRE VI
CHANGEMENT DE SERVICES DE TRAITEMENT DE DONNEES
Article 33
Exigences essentielles concernant l'interopérabilité des données, des mécanismes et des services de partage des données ainsi que des espaces européens communs de données
1. Les participants aux espaces de données qui proposent des données ou des services de données à d'autres participants respectent les exigences essentielles suivantes en vue de faciliter l'interopérabilité des données, des mécanismes et des services de partage de données, ainsi que des espaces européens communs des données qui sont des cadres interopérables de normes et de pratiques communes transsectoriels ou spécifiques à chaque finalité ou à chaque secteur visant à partager ou à traiter conjointement des données pour, entre autres, la mise au point de nouveaux produits et services, la recherche scientifique ou des initiatives de la société civile:
| a) | le contenu de l'ensemble de données, les restrictions d'utilisation, les licences, la méthode de collecte des données, la qualité des données et l'incertitude sur les données sont suffisamment décrits, le cas échéant, dans un format lisible par machine, pour permettre au destinataire de trouver les données, d'y accéder et de les utiliser; |
| b) | les structures de données, les formats de données, les vocabulaires, les systèmes de classification, les taxinomies et les listes de codes, le cas échéant, sont décrits de manière publiquement accessible et cohérente; |
| c) | les moyens techniques d'accès aux données, tels que les interfaces de programmation d'applications, ainsi que leurs conditions d'utilisation et leur qualité de service sont suffisamment décrits pour permettre l'accès automatique aux données et leur transmission automatique entre les parties, y compris en continu, en téléchargement de masse ou en temps réel dans un format lisible par machine, lorsque cela est techniquement possible et n'entrave pas le bon fonctionnement du produit connecté; |
| d) | le cas échéant, les moyens permettant l'interopérabilité des outils d'exécution automatique des accords de partage de données, tels que les contrats intelligents, sont prévus. |
Ces exigences peuvent être de nature générique ou concerner des secteurs spécifiques, tout en tenant pleinement compte de l'interdépendance avec les exigences découlant d'autres dispositions du droit de l'Union ou du droit national.
2. La Commission est habilitée à adopter des actes délégués conformément à l'article 45 du présent règlement afin de compléter le présent règlement en précisant davantage les exigences essentielles prévues au paragraphe 1 du présent article, en ce qui concerne les exigences qui, par leur nature, ne peuvent produire l'effet escompté que si elles sont précisées davantage dans des actes juridiques contraignants de l'Union, et afin de refléter correctement l'évolution des technologies et du marché.
Lorsqu'elle adopte des actes délégués, la Commission tient compte des avis du comité européen de l'innovation dans le domaine des données conformément à l'article 42, point c), iii).
3. Les participants aux espaces de données qui proposent des données ou des services de données à d'autres participants aux espaces de données qui satisfont aux normes harmonisées ou à des parties de normes harmonisées, dont les références sont publiées au Journal officiel de l'Union européenne, sont présumés être en conformité avec les exigences essentielles prévues au paragraphe 1, dans la mesure où ces exigences sont couvertes par de telles normes harmonisées ou des parties de ces normes.
4. En application de l'article 10 du règlement (UE) no 1025/2012, la Commission demande à une ou plusieurs organisations européennes de normalisation d'élaborer des normes harmonisées qui satisfont aux exigences essentielles prévues au paragraphe 1 du présent article.
5. La Commission peut, par voie d'actes d'exécution, adopter des spécifications communes couvrant l'une ou l'ensemble des exigences essentielles prévues au paragraphe 1 lorsque les conditions suivantes sont remplies:
| a) | la Commission a demandé, conformément à l'article 10, paragraphe 1, du règlement (UE) no 1025/2012, à une ou plusieurs organisations européennes de normalisation d'élaborer une norme harmonisée qui satisfait aux exigences essentielles prévues au paragraphe 1 du présent article et:
|
| b) | aucune référence à des normes harmonisées couvrant les exigences essentielles pertinentes prévues au paragraphe 1 du présent article n'est publiée au Journal officiel de l'Union européenne conformément au règlement (UE) no 1025/2012 et aucune référence de ce type ne devrait être publiée dans un délai raisonnable. |
Ces actes d'exécution sont adoptés en conformité avec la procédure d'examen visée à l'article 46, paragraphe 2.
6. Avant de préparer un projet d'acte d'exécution visé au paragraphe 5 du présent article, la Commission informe le comité visé à l'article 22 du règlement (UE) no 1025/2012 qu'elle estime que les conditions énoncées au paragraphe 5 du présent article ont été remplies.
7. Lorsqu'elle prépare le projet d'acte d'exécution visé au paragraphe 5, la Commission tient compte de l'avis du comité européen de l'innovation dans le domaine des données et du point de vue d'autres organismes ou groupes d'experts compétents et consulte dûment toutes les parties prenantes concernées.
8. Les participants aux espaces de données qui proposent des données ou des services de données aux autres participants aux espaces de données qui satisfont aux spécifications communes établies par des actes d'exécution visés au paragraphe 5 ou à des parties de celles-ci sont présumés être en conformité avec les exigences essentielles prévues au paragraphe 1 dans la mesure où ces exigences sont couvertes par de telles spécifications communes ou des parties de celles-ci.
9. Lorsqu'une norme harmonisée est adoptée par une organisation européenne de normalisation et proposée à la Commission en vue de la publication de sa référence au Journal officiel de l'Union européenne, la Commission évalue la norme harmonisée conformément au règlement (UE) no 1025/2012. Lorsque la référence d'une norme harmonisée est publiée au Journal officiel de l'Union européenne, la Commission abroge les actes d'exécution visés au paragraphe 5 du présent article, ou les parties de ces actes qui couvrent les mêmes exigences essentielles que celles couvertes par ladite norme harmonisée.
10. Lorsqu'un État membre estime qu'une spécification commune ne satisfait pas entièrement aux exigences essentielles prévues au paragraphe 1, il en informe la Commission en lui fournissant une explication détaillée. La Commission évalue cette explication détaillée et peut, le cas échéant, modifier l'acte d'exécution établissant la spécification commune en question.
11. La Commission peut adopter des lignes directrices en tenant compte de la proposition du comité européen de l'innovation dans le domaine des données conformément à l'article 30, point h), du règlement (UE) 2022/868 établissant des cadres interopérables pour les normes et pratiques communes pour le fonctionnement des espaces européens communs des données.
Article 36
Exigences essentielles concernant les contrats intelligents pour l'exécution des accords de partage de données
1. Le vendeur d'une application utilisant des contrats intelligents ou, à défaut, la personne dont l'activité commerciale, l'entreprise ou la profession nécessite le déploiement de contrats intelligents pour des tiers dans le cadre de l'exécution d'un accord ou d'une partie d'un accord de mise à disposition des données, veille à ce que ces contrats intelligents respectent les exigences essentielles suivantes:
| a) | robustesse et contrôle de l'accès, pour veiller à ce que le contrat intelligent ait été conçu de manière à offrir des mécanismes de contrôle d'accès et un degré très élevé de robustesse afin d'éviter des erreurs fonctionnelles et de résister aux tentatives de manipulation par des tiers; |
| b) | résiliation et interruption en toute sécurité, pour veiller à ce qu'il existe un mécanisme permettant de mettre fin à l'exécution continue des transactions et à ce que le contrat intelligent intègre des fonctions internes qui peuvent réinitialiser le contrat ou lui donner instruction de cesser ou d'interrompre l'opération, en particulier pour éviter de futures exécutions accidentelles; |
| c) | archivage et continuité des données, pour garantir, dans les circonstances dans lesquelles un contrat intelligent doit être résilié ou désactivé, qu'il y a la possibilité d'archiver les données relatives aux transactions, la logique et le code du contrat intelligent afin de conserver l'enregistrement des opérations effectuées sur les données dans le passé (vérifiabilité); |
| d) | contrôle de l'accès, pour garantir qu'un contrat intelligent est protégé par des mécanismes rigoureux de contrôle d'accès au niveau de la gouvernance et des contrats intelligents; et |
| e) | cohérence, pour assurer la cohérence avec les dispositions de l'accord de partage de données que le contrat intelligent exécute. |
2. Le vendeur d'un contrat intelligent ou, à défaut, la personne dont l'activité commerciale, l'entreprise ou la profession nécessite le déploiement de contrats intelligents pour des tiers dans le cadre de l'exécution d'un accord ou d'une partie d'un accord de mise à disposition des données, procède à une évaluation de la conformité en vue de satisfaire aux exigences essentielles prévues au paragraphe 1 et, en ce qui concerne le respect de ces exigences, délivre une déclaration UE de conformité.
3. Lorsqu'il établit la déclaration UE de conformité, le vendeur d'une application utilisant des contrats intelligents ou, à défaut, la personne dont l'activité commerciale, l'entreprise ou la profession nécessite le déploiement de contrats intelligents pour des tiers dans le cadre de l'exécution d'un accord ou d'une partie d'un accord de mise à disposition des données est responsable du respect des exigences essentielles prévues au paragraphe 1.
4. Un contrat intelligent qui satisfait aux normes harmonisées ou aux parties concernées de celles-ci et dont les références sont publiées au Journal officiel de l'Union européenne est présumé être en conformité avec les exigences essentielles prévues au paragraphe 1, dans la mesure où ces exigences sont couvertes par de telles normes harmonisées ou des parties de celles-ci.
5. Conformément à l'article 10 du règlement (UE) no 1025/2012, la Commission demande à une ou plusieurs organisations européennes de normalisation d'élaborer des normes harmonisées qui satisfont aux exigences essentielles prévues au paragraphe 1 du présent article.
6. La Commission peut, par voie d'actes d'exécution, adopter des spécifications communes couvrant l'une ou l'ensemble des exigences essentielles prévues au paragraphe 1 lorsque les conditions suivantes sont remplies:
| a) | la Commission a demandé, conformément à l'article 10, paragraphe 1, du règlement (UE) no 1025/2012, à une ou plusieurs organisations européennes de normalisation d'élaborer une norme harmonisée qui satisfait aux exigences essentielles prévues au paragraphe 1 du présent article et:
|
| b) | aucune référence à des normes harmonisées couvrant les exigences essentielles pertinentes prévues au paragraphe 1 du présent article n'est publiée au Journal officiel de l'Union européenne conformément au règlement (UE) no 1025/2012 et aucune référence de ce type ne devrait être publiée dans un délai raisonnable. |
Ces actes d'exécution sont adoptés en conformité avec la procédure d'examen visée à l'article 46, paragraphe 2.
7. Avant de préparer un projet d'acte d'exécution visé au paragraphe 6 du présent article, la Commission informe le comité visé à l'article 22 du règlement (UE) no 1025/2012 qu'elle estime que les conditions prévues au paragraphe 6 du présent article ont été remplies.
8. Lorsqu'elle prépare le projet d'acte d'exécution visé au paragraphe 6, la Commission tient compte de l'avis du comité européen de l'innovation dans le domaine des données et du point de vue d'autres organismes ou groupes d'experts compétents et consulte dûment toutes les parties prenantes concernées.
9. Le vendeur d'un contrat intelligent ou, à défaut, la personne dont l'activité commerciale, l'entreprise ou la profession nécessite le déploiement de contrats intelligents pour des tiers dans le cadre de l'exécution d'un accord ou d'une partie d'un accord de mise à disposition des données qui sont conformes aux spécifications communes établies par des actes d'exécution visés au paragraphe 6, ou à des parties de celles-ci, est présumé respecter les exigences essentielles prévues au paragraphe 1 dans la mesure où ces exigences sont couvertes par de telles spécifications communes ou par des parties de celles-ci.
10. Lorsqu'une norme harmonisée est adoptée par une organisation européenne de normalisation et proposée à la Commission en vue de la publication de sa référence au Journal officiel de l'Union européenne, la Commission évalue la norme harmonisée conformément au règlement (UE) no 1025/2012. Lorsque la référence d'une norme harmonisée est publiée au Journal officiel de l'Union européenne, la Commission abroge les actes d'exécution visés au paragraphe 6 du présent article, ou des parties de ces actes qui couvrent les mêmes exigences essentielles que celles qui sont couvertes par ladite norme harmonisée.
11. Lorsqu'un État membre estime qu'une spécification commune ne satisfait pas entièrement aux exigences essentielles prévues au paragraphe 1, il en informe la Commission en lui fournissant une explication détaillée. La Commission évalue ladite explication détaillée et peut, le cas échéant, modifier l'acte d'exécution établissant la spécification commune en question.
CHAPITRE IX
MISE EN ŒUVRE ET EXECUTION
Article 37
Autorités compétentes et coordinateurs de données
1. Chaque État membre désigne une ou plusieurs autorités compétentes chargées de l'application et de l'exécution du présent règlement (ci-après dénommées "autorités compétentes"). Les États membres peuvent mettre en place une ou plusieurs nouvelles autorités ou s'appuyer sur des autorités existantes.
2. Lorsqu'un État membre désigne plus d'une autorité compétente, il désigne un coordinateur de données parmi celles-ci afin de faciliter la coopération entre les autorités compétentes et afin d'aider les entités relevant du champ d'application du présent règlement sur toutes les questions liées à son application et à son exécution. Les autorités compétentes coopèrent entre elles dans l'exercice des missions et pouvoirs qui leur sont conférés au titre du paragraphe 5.
3. Les autorités de contrôle chargées de surveiller l'application du règlement (UE) 2016/679 sont chargées de surveiller l'application du présent règlement en ce qui concerne la protection des données à caractère personnel. Les chapitres VI et VII du règlement (UE) 2016/679 s'appliquent mutatis mutandis.
Le Contrôleur européen de la protection des données est chargé de surveiller l'application du présent règlement dans la mesure où il concerne la Commission, la Banque centrale européenne ou des organes de l'Union. Le cas échéant, l'article 62 du règlement (UE) 2018/1725 s'applique mutatis mutandis.
Les autorités de contrôle visées au présent paragraphe exercent leurs missions et leurs pouvoirs à l'égard du traitement des données à caractère personnel.
4. Sans préjudice du paragraphe 1 du présent article:
| a) | pour les questions spécifiques sur l'accès aux données sectorielles et leur utilisation en lien avec l'application du présent règlement, la compétence des autorités sectorielles est respectée; |
| b) | l'autorité compétente chargée de l'application et de l'exécution des articles 23 à 31 et des articles 34 et 35 dispose d'une expérience dans le domaine des données et des services de communications électroniques. |
5. Les États membres veillent à ce que les missions et pouvoirs des autorités compétentes soient clairement définis et incluent:
| a) | la promotion de l'éducation aux données et la sensibilisation des utilisateurs et des entités relevant du champ d'application du présent règlement aux droits et obligations découlant du présent règlement; |
| b) | le traitement des réclamations découlant des infractions alléguées au présent règlement, y compris en lien avec des secrets d'affaires, l'examen de l'objet de la réclamation, dans la mesure nécessaire, et l'information à intervalles réguliers de l'auteur de la réclamation, le cas échéant conformément au droit national, sur l'état d'avancement et l'issue de l'enquête dans un délai raisonnable, notamment si un complément d'enquête ou une coordination avec une autre autorité compétente est nécessaire; |
| c) | la réalisation d'enquêtes sur des questions concernant l'application du présent règlement, y compris sur la base d'informations reçues d'une autre autorité compétente ou d'une autre autorité publique; |
| d) | l'imposition de sanctions financières effectives, proportionnées et dissuasives, pouvant comporter des astreintes et des sanctions avec effet rétroactif, ou l'engagement de procédures judiciaires en vue d'infliger des amendes; |
| e) | le suivi des évolutions technologiques et commerciales pertinentes pour la mise à disposition et l'utilisation des données; |
| f) | la coopération avec les autorités compétentes d'autres États membres, et, le cas échéant, avec la Commission ou le comité européen de l'innovation dans le domaine des données, pour garantir l'application cohérente et efficace du présent règlement, y compris l'échange de toutes les informations pertinentes par voie électronique, sans retard injustifié, y compris en ce qui concerne le paragraphe 10 du présent article; |
| g) | la coopération avec les autorités compétentes concernées chargées de la mise en œuvre d'autres actes juridiques de l'Union ou nationaux, y compris avec les autorités compétentes dans le domaine des données et des services de communications électroniques, avec l'autorité de contrôle chargée de surveiller l'application du règlement (UE) 2016/679 ou avec les autorités sectorielles afin de veiller à ce que le présent règlement soit appliqué de manière cohérente par rapport aux autres dispositions du droit de l'Union et du droit national; |
| h) | la coopération avec les autorités compétentes concernées afin de veiller à ce que les articles 23 à 31 et les articles 34 et 35 soient exécutées de manière cohérente par rapport au droit de l'Union et aux mesures d'autoréglementation applicables aux fournisseurs de services de traitement de données; |
| i) | l'assurance que les frais de changement de fournisseur sont supprimés conformément à l'article 29; |
| j) | l'examen des demandes de données introduites en application du chapitre V. |
Lorsqu'un coordinateur de données a été désigné, il facilite la coopération visée aux points f), g) et h) du premier alinéa et assiste les autorités compétentes à leur demande.
6. Lorsqu'une telle autorité compétente a été désignée, le coordinateur de données:
| a) | fait office de point de contact unique pour toutes les questions liées à l'application du présent règlement; |
| b) | veille à ce que soient mises à la disposition du public en ligne les demandes de mise à disposition des données présentées par des organismes du secteur public en cas de besoin exceptionnel au titre du chapitre V et encourage les accords de partage volontaire de données entre les organismes du secteur public et les détenteurs de données; |
| c) | informe annuellement la Commission des refus notifiés au titre de l'article 4, paragraphes 2 et 8, et de l'article 5, paragraphe 11. |
7. Les États membres communiquent à la Commission le nom des autorités compétentes ainsi que leurs missions et pouvoirs et, le cas échéant, le nom du coordinateur de données. La Commission tient un registre public de ces autorités.
8. Lorsqu'elles accomplissent leurs missions et exercent leurs pouvoirs conformément au présent règlement, les autorités compétentes restent impartiales et libres de toute influence extérieure, qu'elle soit directe ou indirecte, et ne sollicitent ni n'acceptent, pour des cas individuels, d'instructions d'aucune autre autorité publique ni d'aucune entité privée.
9. Les États membres veillent à ce que les autorités compétentes disposent de ressources humaines et techniques suffisantes et de l'expertise adéquate pour s'acquitter efficacement de leurs missions conformément au présent règlement.
10. Les entités relevant du champ d'application du présent règlement sont soumises à la compétence de l'État membre dans lequel elles sont établies. Lorsque l'entité est établie dans plus d'un État membre, elle est considérée comme relevant de la compétence de l'État membre dans lequel se trouve son établissement principal, c'est-à-dire là où l'entité a son siège social ou son siège statutaire d'où sont exercés les principales fonctions financières et le contrôle opérationnel.
11. Toute entité relevant du champ d'application du présent règlement qui met des produits connectés à disposition ou propose des services connexes dans l'Union et qui n'est pas établie dans l'Union désigne un représentant légal dans l'un des États membres.
12. Aux fins de garantir le respect du présent règlement, un représentant légal est mandaté par une entité relevant du champ d'application du présent règlement qui met des produits connectés à disposition ou propose des services connexes dans l'Union pour être contacté, en plus de ladite entité ou à sa place, par les autorités compétentes en ce qui concerne toutes les questions liées à cette entité. Ce représentant légal coopère avec les autorités compétentes et leur démontre de manière exhaustive, sur demande, les mesures prises et les dispositions mises en place par l'entité relevant du champ d'application du présent règlement qui met des produits connectés à disposition ou propose des services connexes dans l'Union pour garantir le respect du présent règlement.
13. Une entité relevant du champ d'application du présent règlement qui met à disposition des produits connectés ou propose des services dans l'Union est considérée comme relevant de la compétence de l'État membre dans lequel se trouve son représentant légal. La désignation d'un représentant légal par une telle entité est sans préjudice de la responsabilité de cette entité et des actions en justice qui pourraient être intentées contre elle. Jusqu'à ce qu'une entité désigne un représentant légal conformément au présent article, elle relève de la compétence de tous les États membres, le cas échéant, aux fins de garantir l'application et l'exécution du présent règlement. Toute autorité compétente peut exercer sa compétence, y compris en imposant des sanctions effectives, proportionnées et dissuasives, pour autant que l'entité ne fasse pas l'objet d'une procédure d'exécution au titre du présent règlement portant sur les mêmes faits par une autre autorité compétente.
14. Les autorités compétentes sont habilitées à demander aux utilisateurs, aux détenteurs de données ou aux destinataires de données, ou à leurs représentants légaux, qui relèvent de la compétence de leur État membre toutes les informations nécessaires pour vérifier le respect du présent règlement. Toute demande d'information est proportionnée à l'accomplissement de la mission sous-jacente et est motivée.
15. Lorsqu'une autorité compétente dans un État membre sollicite l'assistance d'une autorité compétente d'un autre État membre ou l'application de mesures d'exécution par celle-ci, elle présente une demande motivée. Lorsqu'elle reçoit une telle demande, une autorité compétente fournit, sans retard injustifié, une réponse détaillant les mesures qui ont été prises ou qu'il est prévu de prendre.
16. Les autorités compétentes respectent les principes de confidentialité et de secret professionnel et commercial et protègent les données à caractère personnel conformément au droit de l'Union ou au droit national. Toutes les informations échangées dans le cadre d'une demande d'assistance et fournies en vertu du présent article ne sont utilisées qu'aux fins pour lesquelles elles ont été demandées.
Article 44
Autres actes juridiques de l'Union régissant les droits et obligations relatifs à l'accès aux données et à leur utilisation
1. Les obligations spécifiques relatives à la mise à disposition de données entre entreprises, entre entreprises et consommateurs, et, à titre exceptionnel, entre entreprises et organismes du secteur public, définies dans les actes juridiques de l'Union en vigueur au 11 janvier 2024 ou avant cette date et dans les actes délégués ou d'exécution adoptés en vertu de ces actes, restent inchangées.
2. Le présent règlement est sans préjudice du droit de l'Union précisant, à la lumière des besoins d'un secteur, d'un espace européen commun des données ou d'un domaine d'intérêt public, d'autres exigences, en particulier en ce qui concerne:
| a) | les aspects techniques de l'accès aux données; |
| b) | les limitations des droits des détenteurs de données d'avoir accès à certaines données fournies par les utilisateurs ou de les utiliser; |
| c) | les aspects allant au-delà de l'accès aux données et de l'utilisation de données. |
3. Le présent règlement, à l'exception du chapitre V, est sans préjudice du droit de l'Union et du droit national prévoyant l'accès aux données et autorisant l'utilisation de données à des fins de recherche scientifique.
whereas