Data Act 2023/2854 FR

1. Les produits connectés sont conçus et fabriqués, et les services connexes conçus et fournis, de telle sorte que les données relatives auxdits produits et les données relatives aux services connexes, y compris les métadonnées pertinentes nécessaires à l'interprétation et à l'utilisation de ces données, sont, par défaut, accessibles à l'utilisateur, de manière aisée, sécurisée, sans frais, dans un format complet, structuré, couramment utilisé et lisible par machine, et sont, lorsque cela est pertinent et techniquement possible, directement accessibles à l'utilisateur.

2. Avant la conclusion d'un contrat d'achat, de location ou de crédit-bail relatif à un produit connecté, le vendeur, le loueur ou le bailleur, qui peut être le fabricant, communique à l'utilisateur, de manière claire et compréhensible, au moins les informations suivantes:

a)	le type, le format et le volume estimé des données relatives au produit que le produit connecté est capable de générer;

b)	si le produit connecté est capable de générer des données en continu et en temps réel;

c)	si le produit connecté est capable de stocker des données sur un dispositif intégré ou sur un serveur distant, y compris, le cas échéant, la durée de conservation prévue;

d)	la manière dont l'utilisateur peut accéder aux données, extraire les données ou, le cas échéant, les effacer, y compris les moyens techniques nécessaires pour ce faire, ainsi que leurs conditions d'utilisation et leur qualité de service.

3. Avant la conclusion d'un contrat relatif à la fourniture d'un service connexe, le fournisseur d'un tel service connexe communique à l'utilisateur, de manière claire et compréhensible, au moins les informations suivantes:

la nature, le volume estimé et la fréquence de collecte des données relatives au produit que le détenteur de données potentiel devrait obtenir et, le cas échéant, les modalités selon lesquelles l'utilisateur peut accéder à ces données ou les extraire, y compris les modalités de stockage des données du détenteur de données potentiel et la durée de conservation;

b)	la nature et le volume estimé des données relatives aux services connexes à générer, ainsi que les modalités selon lesquelles l'utilisateur peut avoir accès à ces données ou les extraire, y compris les modalités de stockage des données du détenteur de données potentiel et la durée de conservation;

c)	si le détenteur de données potentiel a l'intention d'utiliser lui-même des données facilement accessibles et les finalités pour lesquelles ces données sont utilisées, et s'il a l'intention d'autoriser un ou plusieurs tiers à utiliser les données pour des finalités convenues avec l'utilisateur;

d)	l'identité du détenteur de données potentiel, telle que sa raison sociale et l'adresse géographique à laquelle il est établi et, le cas échéant, des autres parties au traitement de données;

e)	les moyens de communication qui permettent de contacter rapidement le détenteur de données potentiel et de communiquer efficacement avec lui;

f)	la manière dont l'utilisateur peut demander à ce que les données soient partagées avec un tiers et, le cas échéant, mettre un terme au partage des données;

g)	le droit de l'utilisateur d'introduire une réclamation pour infraction aux dispositions du présent chapitre auprès de l'autorité compétente désignée en vertu de l'article 37;

si un détenteur de données potentiel est le détenteur de secrets d'affaires contenus dans les données qui sont accessibles à partir du produit connecté ou générées au cours de la fourniture d'un service connexe, et, lorsque le détenteur de données potentiel n'est pas le détenteur de secrets d'affaires, l'identité du détenteur de secrets d'affaires;

i)	la durée du contrat entre l'utilisateur et le détenteur de données potentiel, ainsi que les modalités de résiliation de ce contrat.

Article 4

Droits et obligations des utilisateurs et des détenteurs de données concernant l'accès aux données relatives au produit et aux données relatives au service connexe, leur utilisation et leur mise à disposition

1. Lorsque l'utilisateur ne peut pas accéder directement à des données à partir du produit connecté ou du service connexe, les détenteurs de données rendent les données facilement accessibles, ainsi que les métadonnées pertinentes nécessaires à l'interprétation et à l'utilisation de ces données, accessibles à l'utilisateur sans retard injustifié, à un niveau de qualité identique à celui dont bénéficie le détenteur de données, de manière aisée, sécurisée, sans frais, dans un format complet, structuré, couramment utilisé et lisible par machine et, lorsque cela est pertinent et techniquement possible, en continu et en temps réel. À cet effet, une simple demande est envoyée par voie électronique lorsque cela est techniquement possible.

2. Les utilisateurs et les détenteurs de données peuvent contractuellement restreindre ou interdire l'accès aux données, leur utilisation ou leur partage ultérieur, si un tel traitement est susceptible de porter atteinte aux exigences de sécurité du produit connecté, telles qu'elles sont prévues par le droit de l'Union ou le droit national, entraînant de graves effets indésirables pour la santé, la sûreté ou la sécurité des personnes physiques. Les autorités sectorielles peuvent fournir aux utilisateurs et aux détenteurs de données une expertise technique dans ce contexte. Lorsque le détenteur de données refuse de partager des données en vertu du présent article, il adresse une notification à l'autorité compétente désignée conformément à l'article 37.

3. Sans préjudice du droit de l'utilisateur de demander réparation à tout moment devant une juridiction d'un État membre, l'utilisateur, dans le cadre de tout litige avec le détenteur de données concernant les restrictions ou interdictions contractuelles visées au paragraphe 2, peut:

a)	introduire une réclamation auprès de l'autorité compétente conformément à l'article 37, paragraphe 5, point b); ou

b)	convenir avec le détenteur de données de porter la question devant un organe de règlement des litiges conformément à l'article 10, paragraphe 1.

4. Les détenteurs de données ne rendent pas indûment difficile pour les utilisateurs le fait d'effectuer des choix ou d'exercer des droits prévus au présent article, y compris en offrant des choix à l'utilisateur d'une manière qui n'est pas neutre ou en réduisant ou en compromettant l'autonomie, la prise de décision ou le choix des utilisateurs au moyen de la structure, de la conception, de la fonction ou du mode de fonctionnement d'une interface numérique utilisateur ou d'une partie de celle-ci.

5. Afin de vérifier si une personne physique ou morale peut être considérée comme un utilisateur aux fins du paragraphe 1, un détenteur de données n'exige pas de ladite personne qu'elle fournisse d'autres informations que celles qui sont nécessaires. Les détenteurs de données ne conservent aucune autre information, en particulier aucune donnée de connexion, sur l'accès de l'utilisateur aux données demandées que celles qui sont nécessaires à la bonne exécution de la demande d'accès de l'utilisateur et à la sécurité et à la maintenance de l'infrastructure de données.

6. Les secrets d'affaires sont préservés et ne sont divulgués que lorsque le détenteur de données et l'utilisateur prennent toutes les mesures nécessaires avant la divulgation pour préserver leur confidentialité, en particulier en ce qui concerne les tiers. Le détenteur de données ou, s'il ne s'agit pas de la même personne, le détenteur de secrets d'affaires recense les données protégées en tant que secrets d'affaires, y compris dans les métadonnées pertinentes, et convient avec l'utilisateur de mesures techniques et organisationnelles proportionnées nécessaires afin de préserver la confidentialité des données partagées, en particulier en ce qui concerne les tiers, telles que des clauses contractuelles types, des accords de confidentialité, des protocoles d'accès stricts, des normes techniques et l'application de codes de conduite.

7. En l'absence d'accord sur les mesures nécessaires visées au paragraphe 6, ou si l'utilisateur ne met pas en œuvre les mesures convenues en vertu du paragraphe 6 ou compromet la confidentialité des secrets d'affaires, le détenteur de données peut bloquer ou, selon le cas, suspendre le partage des données définies comme secrets d'affaires. La décision du détenteur de données est dûment motivée et communiquée par écrit à l'utilisateur sans retard injustifié. Dans de tels cas, le détenteur de données notifie à l'autorité compétente désignée en vertu de l'article 37 qu'il a retenu ou suspendu le partage de données et indique les mesures qui n'ont pas été convenues ou mises en œuvre et, le cas échéant, les secrets d'affaires dont la confidentialité a été compromise.

8. Dans des circonstances exceptionnelles, lorsque le détenteur de données qui est un détenteur de secret d'affaires peut démontrer qu'il est très probable qu'il subisse un préjudice économique grave du fait de la divulgation de secrets d'affaires, malgré les mesures techniques et organisationnelles prises par l'utilisateur en vertu du paragraphe 6 du présent article, ce détenteur de données peut refuser au cas par cas une demande d'accès aux données spécifiques en question. Cette démonstration est dûment étayée sur la base d'éléments objectifs, en particulier l'opposabilité de la protection des secrets d'affaires dans les pays tiers, la nature et le niveau de confidentialité des données demandées, ainsi que le caractère unique et neuf du produit connecté, et est fournie par écrit à l'utilisateur sans retard injustifié. Lorsque le détenteur de données refuse de partager des données en vertu du présent paragraphe, il adresse une notification à l'autorité compétente désignée en vertu de l'article 37.

9. Sans préjudice du droit d'un utilisateur de demander réparation à tout moment devant une juridiction d'un État membre, un utilisateur souhaitant contester la décision d'un détenteur de données de refuser ou de bloquer ou suspendre le partage de données en vertu des paragraphes 7 et 8 peut:

a)	introduire une réclamation auprès de l'autorité compétente conformément à l'article 37, paragraphe 5, point b), qui décide, sans retard injustifié, si et dans quelles conditions le partage des données doit commencer ou reprendre; ou

b)	convenir avec le détenteur de données de porter la question devant un organe de règlement des litiges conformément à l'article 10, paragraphe 1.

10. L'utilisateur ne se sert pas des données obtenues en réponse à une demande visée au paragraphe 1 pour mettre au point un produit connecté concurrençant le produit connecté dont proviennent les données, ni ne partage les données avec un tiers dans cette intention, et il n'utilise pas ces données pour obtenir des informations sur la situation économique, les actifs ou les méthodes de production du fabricant ou, le cas échéant, du détenteur de données.

11. L'utilisateur s'abstient d'avoir recours à des moyens coercitifs ou de tirer avantage de lacunes dans l'infrastructure technique du détenteur de données qui est destinée à protéger les données pour obtenir l'accès aux données.

12. Lorsque l'utilisateur n'est pas la personne concernée dont les données à caractère personnel font l'objet de la demande, les données à caractère personnel générées par l'utilisation d'un produit connecté ou d'un service connexe ne sont mises à la disposition de l'utilisateur par le détenteur de données que s'il existe un fondement juridique valable pour le traitement au titre de l'article 6 du règlement (UE) 2016/679 et, le cas échéant, si les conditions énoncées à l'article 9 dudit règlement et à l'article 5, paragraphe 3, de la directive 2002/58/CE sont remplies.

13. Un détenteur de données n'utilise les données facilement accessibles qui sont des données à caractère non personnel que sur la base d'un contrat avec l'utilisateur. Un détenteur de données n'utilise pas ces données pour obtenir des informations sur la situation économique, les actifs ou les méthodes de production de l'utilisateur, ou sur l'utilisation qu'en fait ce dernier, d'une quelconque autre manière susceptible de porter atteinte à la position commerciale dudit utilisateur sur les marchés où celui-ci est actif.

14. Les détenteurs de données ne mettent pas à la disposition de tiers les données à caractère non personnel relatives aux produits à des fins commerciales ou non commerciales autres que l'exécution de leur contrat avec l'utilisateur. Le cas échéant, les détenteurs de données obligent contractuellement les tiers à ne pas partager les données reçues de leur part.

Article 5

Droit de l'utilisateur de partager des données avec des tiers

1. Lorsqu'un utilisateur ou une partie agissant pour le compte d'un utilisateur en fait la demande, le détenteur de données met les données facilement accessibles, ainsi que les métadonnées pertinentes nécessaires à l'interprétation et à l'utilisation de ces données, à la disposition d'un tiers sans retard injustifié, à un niveau de qualité identique à celui dont bénéficie le détenteur de données, de manière aisée, sécurisée, sans frais pour l'utilisateur, dans un format complet, structuré, couramment utilisé et lisible par machine et, lorsque cela est pertinent et techniquement possible, en continu et en temps réel. Les données sont mises à la disposition du tiers par le détenteur de données conformément aux articles 8 et 9.

2. Le paragraphe 1 ne s'applique pas aux données facilement accessibles dans le cadre de l'essai de nouveaux produits connectés, substances ou procédés qui ne sont pas encore mis sur le marché, à moins que leur utilisation par un tiers ne soit contractuellement autorisée.

3. Toute entreprise désignée comme contrôleur d'accès, conformément à l'article 3 du règlement (UE) 2022/1925, n'est pas un tiers éligible au titre du présent article et ne peut par conséquent pas:

inviter un utilisateur, par une sollicitation ou par une incitation commerciale, quelles qu'elles soient, y compris en fournissant une compensation pécuniaire ou de toute autre nature, à mettre à la disposition de l'un de ses services des données que l'utilisateur a obtenues à la suite d'une demande introduite au titre de l'article 4, paragraphe 1;

b)	inviter un utilisateur, par une sollicitation ou par une incitation commerciale, à demander au détenteur de données de mettre des données à la disposition de l'un de ses services conformément au paragraphe 1 du présent article;

c)	recevoir d'un utilisateur des données que ce dernier a obtenues à la suite d'une demande introduite au titre de l'article 4, paragraphe 1.

4. Afin de vérifier si une personne physique ou morale peut être considérée comme un utilisateur ou un tiers aux fins du paragraphe 1, l'utilisateur ou le tiers n'est pas tenu de fournir d'autres informations que celles qui sont nécessaires. Les détenteurs de données ne conservent aucune autre information sur l'accès du tiers aux données demandées que celles qui sont nécessaires à la bonne exécution de la demande d'accès du tiers et à la sécurité et à la maintenance de l'infrastructure de données.

5. Le tiers s'abstient d'avoir recours à des moyens coercitifs ou de tirer avantage de lacunes dans l'infrastructure technique d'un détenteur de données qui est destinée à protéger les données pour obtenir l'accès aux données.

6. Un détenteur de données n'utilise aucune donnée facilement accessible pour obtenir des informations sur la situation économique, les actifs ou les méthodes de production du tiers, ou sur l'utilisation qu'en fait ce dernier, d'une quelconque autre manière susceptible de porter atteinte à la position commerciale du tiers sur les marchés sur lesquels il exerce ses activités, à moins que le tiers n'ait autorisé cette utilisation et ne dispose de la possibilité technique de retirer facilement cette autorisation à tout moment.

7. Lorsque l'utilisateur n'est pas la personne concernée dont les données à caractère personnel font l'objet de la demande, les données à caractère personnel générées par l'utilisation d'un produit connecté ou d'un service connexe, ne sont mises à la disposition du tiers par le détenteur de données que s'il existe un fondement juridique valable pour le traitement au titre de l'article 6 du règlement (UE) 2016/679 et, le cas échéant, si les conditions énoncées à l'article 9 dudit règlement et à l'article 5, paragraphe 3, de la directive 2002/58/CE sont remplies.

8. L'absence d'accord entre le détenteur de données et le tiers concernant les modalités de transmission des données ne doit pas entraver, empêcher ou interférer avec l'exercice des droits de la personne concernée au titre du règlement (UE) 2016/679 et, en particulier, du droit à la portabilité des données prévu à l'article 20 dudit règlement.

9. Les secrets d'affaires sont préservés et ne sont divulgués à des tiers que dans la mesure où cette divulgation est strictement nécessaire pour atteindre la finalité convenue entre l'utilisateur et le tiers. Le détenteur de données ou, s'il ne s'agit pas de la même personne, le détenteur de secrets d'affaires, recense les données protégées en tant que secrets d'affaires, y compris dans les métadonnées pertinentes, et convient avec le tiers de toutes les mesures techniques et organisationnelles proportionnées nécessaires afin de préserver la confidentialité des données partagées, telles que des clauses contractuelles types, des accords de confidentialité, des protocoles d'accès stricts, des normes techniques et l'application de codes de conduite.

10. En l'absence d'accord sur les mesures nécessaires visées au paragraphe 9 du présent article, ou si le tiers ne met pas en œuvre les mesures convenues en vertu du paragraphe 9 du présent article ou compromet la confidentialité des secrets d'affaires, le détenteur de données peut bloquer ou, selon le cas, suspendre le partage des données définies comme constituant des secrets d'affaires. La décision du détenteur de données est dûment motivée et communiquée par écrit au tiers, sans retard injustifié. Dans de tels cas, le détenteur de données notifie à l'autorité compétente désignée en vertu de l'article 37 qu'il a retenu ou suspendu le partage de données et indique les mesures qui n'ont pas été convenues ou mises en œuvre et, le cas échéant, les secrets d'affaires dont la confidentialité a été compromise.

11. Dans des circonstances exceptionnelles, lorsque le détenteur de données qui est un détenteur de secret d'affaires peut démontrer qu'il est très probable qu'il subisse un préjudice économique grave du fait de la divulgation de secrets d'affaires, malgré les mesures techniques et organisationnelles prises par le tiers en vertu du paragraphe 9 du présent article, ce détenteur de données peut refuser au cas par cas une demande d'accès aux données spécifiques en question. Cette démonstration est dûment étayée sur la base d'éléments objectifs, en particulier l'opposabilité de la protection des secrets d'affaires dans les pays tiers, la nature et le niveau de confidentialité des données demandées, ainsi que le caractère unique et neuf du produit connecté, et est fournie par écrit au tiers sans retard injustifié. Lorsque le détenteur de données refuse de partager des données en vertu du présent paragraphe, il adresse une notification à l'autorité compétente désignée en vertu de l'article 37.

12. Sans préjudice du droit du tiers de demander réparation à tout moment devant une juridiction d'un État membre, un tiers souhaitant contester la décision du détenteur de données de refuser ou de bloquer ou suspendre le partage de données en vertu des paragraphes 10 et 11 peut:

a)	introduire une réclamation auprès de l'autorité compétente conformément à l'article 37, paragraphe 5, point b), qui décide, sans retard injustifié, si et dans quelles conditions le partage des données doit commencer ou reprendre; ou

b)	convenir avec le détenteur de données de porter la question devant un organe de règlement des litiges conformément à l'article 10, paragraphe 1.

13. Le droit visé au paragraphe 1 ne porte pas atteinte aux droits des personnes concernées conformément au droit de l'Union et au droit national applicables en matière de protection des données à caractère personnel.

Article 6

Obligations des tiers recevant des données à la demande de l'utilisateur

1. Un tiers traite les données mises à sa disposition en application de l'article 5 uniquement aux fins et dans les conditions convenues avec l'utilisateur et sous réserve du droit de l'Union et du droit national en matière de protection des données à caractère personnel, y compris les droits de la personne concernée dans la mesure où les données à caractère personnel sont concernées. Le tiers efface les données lorsqu'elles ne sont plus nécessaires à la finalité convenue, sauf accord contraire avec l'utilisateur en ce qui concerne les données à caractère non personnel.

2. Le tiers ne peut pas:

rendre l'exercice des choix ou des droits de l'utilisateur, au titre de l'article 5 et du présent article, indûment difficile, y compris en proposant des choix à l'utilisateur d'une manière qui n'est pas neutre, ou en contraignant, en trompant ou en manipulant l'utilisateur, ou en réduisant ou en compromettant l'autonomie, la prise de décision ou les choix de l'utilisateur, y compris au moyen d'une interface numérique utilisateur ou d'une partie de celle-ci;

b)	nonobstant l'article 22, paragraphe 2, points a) et c), du règlement (UE) 2016/679, utiliser les données qu'il reçoit à des fins de profilage, à moins que cela ne soit nécessaire pour fournir le service demandé par l'utilisateur;

mettre les données qu'il reçoit à la disposition d'un autre tiers, à moins que les données ne soient mises à disposition sur le fondement d'un contrat avec l'utilisateur, et à condition que l'autre tiers prenne toutes les mesures nécessaires convenues entre le détenteur de données et le tiers pour préserver la confidentialité des secrets d'affaires;

d)	mettre les données qu'il reçoit à la disposition d'une entreprise désignée comme contrôleur d'accès, conformément à l'article 3 du règlement (UE) 2022/1925;

utiliser les données qu'il reçoit pour développer un produit concurrençant le produit connecté dont proviennent les données auxquelles il a accès ou de partager les données avec un autre tiers à cette fin; les tiers n'utilisent pas non plus de données à caractère non personnel relatives au produit ou relatives au service connexe mises à leur disposition pour obtenir des informations sur la situation économique, les actifs ou les méthodes de production du détenteur de données ou sur l'utilisation que ce dernier en fait;

f)	utiliser les données qu'il reçoit d'une manière qui nuit à la sécurité du produit connecté ou du service connexe;

g)	méconnaître les mesures spécifiques convenues avec le détenteur de données ou le détenteur de secrets d'affaires conformément à l'article 5, paragraphe 9, et compromettre la confidentialité des secrets d'affaires;

h)	empêcher l'utilisateur qui est un consommateur, y compris sur le fondement 'd'un contrat, de mettre à la disposition d'autres parties les données qu'il reçoit.

Article 8

Conditions dans lesquelles les détenteurs de données mettent des données à la disposition des destinataires de données

1. Lorsque, dans le cadre de relations entre entreprises, un détenteur de données est tenu de mettre des données à la disposition d'un destinataire de données au titre de l'article 5 ou au titre d'autres dispositions applicables du droit de l'Union ou de la législation nationale adoptée conformément au droit de l'Union, il convient des modalités de cette mise à disposition des données avec un destinataire de données, et ce selon des modalités et conditions équitables, raisonnables et non discriminatoires et de manière transparente, conformément au présent chapitre et au chapitre IV.

2. Une clause contractuelle concernant l'accès aux données et l'utilisation des données, ou la responsabilité et les voies de recours en cas de violation ou d'extinction des obligations relatives aux données, n'est pas contraignante si elle constitue une clause contractuelle abusive au sens de l'article 13 ou si, au détriment de l'utilisateur, elle exclut l'application des droits de l'utilisateur au titre du chapitre II, y déroge ou en modifie les effets.

3. Lorsqu'il met des données à disposition, un détenteur de données s'abstient de toute discrimination en ce qui concerne les modalités de mise à disposition des données entre des catégories comparables de destinataires de données, y compris les entreprises partenaires ou les entreprises liées du destinataire de données. Lorsqu'un destinataire de données considère que les conditions dans lesquelles des données ont été mises à sa disposition sont discriminatoires, le détenteur de données fournit, sans retard injustifié, au destinataire de données, sur demande motivée de celui-ci, des informations attestant l'absence de discrimination.

4. Un détenteur de données ne met pas de données à la disposition d'un destinataire de données, y compris sur une base d'exclusivité, sauf si l'utilisateur le demande au titre du chapitre II.

5. Les détenteurs de données et les destinataires de données ne sont pas tenus de fournir des informations autres que celles qui sont nécessaires pour vérifier le respect des clauses contractuelles convenues pour la mise à disposition des données ou des obligations qui leur incombent au titre du présent règlement ou d'autres dispositions applicables du droit de l'Union ou de la législation nationale adoptée conformément au droit de l'Union.

6. Sauf disposition contraire du droit de l'Union, y compris l'article 4, paragraphe 6, et l'article 5, paragraphe 9, du présent règlement, ou de la législation nationale adoptée conformément au droit de l'Union, l'obligation de mettre des données à la disposition d'un destinataire de données n'impose pas la divulgation de secrets d'affaires.

Article 14

Obligation de mettre des données à disposition sur le fondement d'un besoin exceptionnel

Lorsqu'un organisme du secteur public, la Commission, la Banque centrale européenne ou un organe de l'Union démontre l'existence d'un besoin exceptionnel, tel qu'il est décrit à l'article 15, d'utiliser certaines données, y compris les métadonnées pertinentes nécessaires à l'interprétation et à l'utilisation de ces données, pour exercer ses fonctions statutaires à des fins d'intérêt public, les détenteurs de données qui sont des personnes morales, autres que des organismes du secteur public, qui détiennent ces données les mettent à disposition sur demande dûment motivée.

Article 15

Besoin exceptionnel d'utiliser des données

1. Un besoin exceptionnel d'utiliser certaines données au sens du présent chapitre a une durée et une portée limitées et est réputé exister uniquement dans les cas suivants:

lorsque les données demandées sont nécessaires pour réagir à une situation d'urgence et que l'organisme du secteur public, la Commission, la Banque centrale européenne ou l'organe de l'Union n'est pas en mesure d'obtenir ces données par d'autres moyens en temps utile et de manière efficace et dans des conditions équivalentes;

dans des circonstances non couvertes par le point a) et uniquement en ce qui concerne les données à caractère non personnel, lorsque:

un organisme du secteur public, la Commission, la Banque centrale européenne ou un organe de l'Union agit sur la base du droit de l'Union ou du droit national et a déterminé des données spécifiques, dont l'absence l'empêche d’exécuter une mission spécifique d'intérêt public, qui a été explicitement prévue par la loi, telle que la production de statistiques officielles, l'atténuation d'une situation d'urgence ou le rétablissement à la suite d'une situation d'urgence; et

ii)

l'organisme du secteur public, la Commission, la Banque centrale européenne ou l'organe de l'Union a épuisé tous les autres moyens à sa disposition pour obtenir ces données, y compris l'achat de données à caractère non personnel sur le marché aux prix du marché ou le recours aux obligations existantes de mise à disposition des données ou l'adoption de nouvelles mesures législatives pouvant garantir la disponibilité des données en temps utile.

2. Le paragraphe 1, point b), ne s'applique pas aux microentreprises ni aux petites entreprises.

3. L'obligation de démontrer que l'organisme du secteur public n'a pas été en mesure d'obtenir des données à caractère non personnel en les achetant sur le marché ne s'applique pas lorsque la mission spécifique exécutée dans l'intérêt public consiste en la production de statistiques officielles et que l'achat de ces données n'est pas autorisé par le droit national.

Article 17

Demandes de mise à disposition de données

1. Lorsqu'un organisme du secteur public, la Commission, la Banque centrale européenne ou un organe de l'Union demande des données en vertu de l'article 14, il ou elle:

a)	précise les données qui sont demandées, y compris les métadonnées nécessaires à l'interprétation et à l'utilisation de ces données;

b)	démontre que les conditions nécessaires à l'existence d'un besoin exceptionnel conformément à l'article 15 pour lequel les données sont demandées sont remplies;

explique la finalité de la demande, l'utilisation qu'il est prévu de faire des données demandées, y compris, le cas échéant, par un tiers conformément au paragraphe 4 du présent article, la durée de cette utilisation et, le cas échéant, la manière dont le traitement de données à caractère personnel doit répondre au besoin exceptionnel;

d)	précise, si possible, la date à laquelle les données sont censées être effacées par toutes les parties qui y ont accès;

e)	justifie le choix du détenteur de données auquel la demande est adressée;

f)	précise avec qui, parmi les autres organismes du secteur public, la Commission, la Banque centrale européenne ou les organes de l'Union ou les tiers, il est prévu de partager les données demandées;

lorsque des données à caractère personnel sont demandées, précise les éventuelles mesures techniques et organisationnelles proportionnées et nécessaires pour mettre en œuvre les principes de protection des données et les garanties nécessaires, telles que la pseudonymisation, et si l'anonymisation peut être appliquée par le détenteur de données avant de mettre les données à disposition;

h)	indique la disposition juridique confiant à l'organisme du secteur public demandeur, à la Commission, à la Banque centrale européenne ou à l'organe de l'Union la mission spécifique exécutée dans l'intérêt public qui justifie la demande de données;

i)	précise le délai dans lequel les données doivent être mises à disposition et le délai visé à l'article 18, paragraphe 2, dans lequel le détenteur de données peut rejeter la demande ou demander sa modification;

j)	met tout en œuvre pour éviter qu'en donnant suite à la demande de données, les détenteurs de données n'engagent leur responsabilité pour infraction au droit de l'Union ou au droit national.

2. Une demande de données présentée en vertu du paragraphe 1 du présent article:

a)	est formulée par écrit et exprimée en termes clairs, concis et simples, compréhensibles pour le détenteur de données;

b)	est spécifique quant au type de données demandées et correspond aux données sur lesquelles le détenteur de données exerce un contrôle au moment de la demande;

c)	est proportionnée au besoin exceptionnel et dûment motivée, en ce qui concerne la granularité et le volume des données demandées, ainsi que la fréquence d'accès aux données demandées;

d)	respecte les objectifs légitimes du détenteur de données, en s'engageant à garantir la protection des secrets d'affaires conformément à l'article 19, paragraphe 3, ainsi qu'en tenant compte des coûts et des efforts nécessaires pour mettre les données à disposition;

concerne des données à caractère non personnel et, uniquement s'il est démontré que cela est insuffisant pour répondre au besoin exceptionnel d'utiliser des données, conformément à l'article 15, paragraphe 1, point a), des données à caractère personnel sous une forme pseudonymisée et établit les mesures techniques et organisationnelles qui doivent être prises pour protéger les données;

f)	informe le détenteur de données des sanctions qui doivent être imposées au titre de l'article 40 par l'autorité compétente désignée en vertu de l'article 37 s'il n'est pas donné suite à la demande;

lorsqu'elle est présentée par un organisme du secteur public, est transmise au coordinateur de données visé à l'article 37 de l'État membre dans lequel est établi l'organisme du secteur public demandeur, qui publie la demande en ligne sans retard injustifié, à moins que le coordinateur de données ne considère qu'une telle publication présenterait un risque pour la sécurité publique;

h)	lorsqu'elle est présentée par la Commission, la Banque centrale européenne ou un organe de l'Union, est mise à disposition en ligne sans retard injustifié;

i)	lorsque des données à caractère personnel sont demandées, est notifiée sans retard injustifié à l'autorité de contrôle chargée de surveiller l'application du règlement (UE) 2016/679 dans l'État membre dans lequel l'organisme du secteur public est établi.

La Banque centrale européenne et les organes de l'Union informent la Commission de leurs demandes.

3. Un organisme du secteur public, la Commission, la Banque centrale européenne ou un organe de l'Union ne met pas les données obtenues au titre du présent chapitre à disposition en vue de leur réutilisation au sens de l'article 2, point 2), du règlement (UE) 2022/868 ou de l'article 2, point 11), de la directive (UE) 2019/1024. Le règlement (UE) 2022/868 et la directive (UE) 2019/1024 ne s'appliquent pas aux données détenues par des organismes du secteur public obtenues au titre du présent chapitre.

4. Le paragraphe 3 du présent article n'empêche pas un organisme du secteur public, la Commission, la Banque centrale européenne ou un organe de l'Union d'échanger des données obtenues en vertu du présent chapitre avec un autre organisme du secteur public, la Commission, la Banque centrale européenne ou un organe de l'Union en vue de l'accomplissement des tâches prévues à l'article 15, comme indiqué dans la demande conformément au paragraphe 1, point f), du présent article, ni de mettre les données à la disposition d'un tiers lorsqu'il ou elle a délégué, au moyen d'un accord accessible au public, des inspections techniques ou d'autres fonctions auprès de ce tiers. Les obligations incombant aux organismes du secteur public conformément à l'article 19, en particulier les garanties visant à préserver la confidentialité des secrets d'affaires, s'appliquent également à ces tiers. Lorsqu'un organisme du secteur public, la Commission, la Banque centrale européenne ou un organe de l'Union transmet ou met des données à disposition en vertu du présent paragraphe, il ou elle adresse une notification, sans retard injustifié, au détenteur de données auprès duquel les données ont été obtenues.

5. Lorsque le détenteur de données estime que ses droits au titre du présent chapitre ont été enfreints par la transmission ou la mise à disposition de données, il peut introduire une réclamation auprès de l'autorité compétente désignée en vertu de l'article 37 de l'État membre dans lequel le détenteur de données est établi.

6. La Commission élabore un modèle de demande conformément au présent article.

Article 18

Suivi des demandes de données

1. Le détenteur de données qui reçoit une demande de mise à disposition de données au titre du présent chapitre met ces données à la disposition de l'organisme du secteur public demandeur, de la Commission, de la Banque centrale européenne ou d'un organe de l'Union sans retard injustifié, en tenant compte des mesures techniques, organisationnelles et juridiques nécessaires.

2. Sans préjudice des besoins spécifiques concernant la disponibilité des données définis dans le droit de l'Union ou le droit national, un détenteur de données peut rejeter la demande de mise à disposition de données ou demander sa modification dans le cadre du présent chapitre, sans retard injustifié et, en tout état de cause, dans un délai maximal de cinq jours ouvrables suivant la réception d'une demande de données nécessaires pour réagir à une situation d'urgence, sans retard injustifié et, en tout état de cause, dans un délai maximal de trente jours ouvrables suivant la réception d'une telle demande dans les autres cas de besoin exceptionnel, pour l'un quelconque des motifs suivants:

a)	le détenteur de données n'exerce pas de contrôle sur les données demandées;

une demande similaire a été présentée précédemment pour la même finalité par un autre organisme du secteur public ou la Commission, la Banque centrale européenne ou un organe de l'Union, et le détenteur de données ne s'est pas vu notifier l'effacement des données conformément à l'article 19, paragraphe 1, point c);

c)	la demande ne satisfait pas aux conditions énoncées à l'article 17, paragraphes 1 et 2.

3. Si le détenteur de données décide de rejeter la demande ou de demander sa modification conformément au paragraphe 2, point b), il indique l'identité de l'organisme du secteur public ou de la Commission, de la Banque centrale européenne ou de l'organe de l'Union qui a présenté précédemment une demande pour la même finalité.

4. Lorsque les données demandées comprennent des données à caractère personnel, le détenteur de données anonymise correctement les données, à moins que le suivi de la demande de mettre des données à la disposition d'un organisme du secteur public, de la Commission, de la Banque centrale européenne ou d'un organe de l'Union n'exige la divulgation de données à caractère personnel. En pareils cas, le détenteur de données pseudonymise les données.

5. Lorsque l'organisme du secteur public, la Commission, la Banque centrale européenne ou l'organe de l'Union souhaite contester le refus d'un détenteur de données de fournir les données demandées, ou lorsque le détenteur de données souhaite contester la demande et que la question ne peut pas être résolue par une modification appropriée de la demande, la question est portée devant l'autorité compétente désignée en vertu de l'article 37 de l'État membre dans lequel le détenteur de données est établi.

Article 19

Obligations des organismes du secteur public, de la Commission, de la Banque centrale européenne et des organes de l'Union

1. Un organisme du secteur public, la Commission, la Banque centrale européenne ou un organe de l'Union qui reçoit des données à la suite d'une demande présentée en vertu de l'article 14:

a)	n'utilise pas les données d'une manière incompatible avec la finalité pour laquelle elles ont été demandées;

a mis en œuvre des mesures techniques et organisationnelles qui préservent la confidentialité et l'intégrité des données demandées et la sécurité des transferts de données, en particulier en ce qui concerne les données à caractère personnel, et garantissent les droits et libertés des personnes concernées;

efface les données dès qu'elles ne sont plus nécessaires à la finalité indiquée et informe, sans retard injustifié, le détenteur de données ainsi que les personnes ou organisations qui ont reçu les données conformément à l'article 21, paragraphe 1, que les données ont été effacées, à moins que l'archivage des données ne soit requis conformément au droit de l'Union ou au droit national en matière d'accès du public aux documents dans le cadre des obligations de transparence.

2. Un organisme du secteur public, la Commission, la Banque centrale européenne, un organe de l'Union ou un tiers qui reçoit des données en vertu du présent chapitre ne peut pas:

utiliser les données ou les informations sur la situation économique, les actifs et les méthodes de production ou d'exploitation du détenteur de données pour développer ou améliorer un produit connecté ou un service connexe concurrençant le produit connecté ou le service connexe du détenteur de données;

b)	partager les données avec un autre tiers pour l'une quelconque des finalités visées au point a).

3. La divulgation de secrets d'affaires à un organisme du secteur public, la Commission, la Banque centrale européenne ou un organe de l'Union n'est exigée que dans la mesure où elle est strictement nécessaire pour atteindre la finalité d'une demande présentée au titre de l'article 15. Dans ce cas, le détenteur de données ou, s'il ne s'agit pas de la même personne, le détenteur de secrets d'affaires détermine les données qui sont protégées en tant que secrets d'affaires, y compris dans les métadonnées pertinentes. L'organisme du secteur public, la Commission, la Banque centrale européenne ou l'organe de l'Union prend, avant la divulgation de secrets d'affaires, toutes les mesures techniques et organisationnelles nécessaires et appropriées pour préserver la confidentialité des secrets d'affaires, y compris, le cas échéant, l'utilisation de clauses contractuelles types et de normes techniques et l'application de codes de conduite.

4. Un organisme du secteur public, la Commission, la Banque centrale européenne ou un organe de l'Union est responsable de la sécurité des données qu'il ou elle reçoit.

Article 20

Compensation en cas de besoin exceptionnel

1. Les détenteurs de données autres que les microentreprises et les petites entreprises mettent gratuitement à disposition les données nécessaires pour réagir à une situation d'urgence conformément à l'article 15, paragraphe 1, point a). L'organisme du secteur public, la Commission, la Banque centrale européenne ou l'organe de l'Union qui a reçu des données accorde une reconnaissance publique au détenteur de données si celui-ci lui en fait la demande.

2. Le détenteur de données dispose d'un droit à une juste compensation pour la mise à disposition de données à la suite d'une demande présentée au titre de l'article 15, paragraphe 1, point b). Une telle compensation couvre les coûts techniques et organisationnels encourus pour donner suite à la demande, y compris, le cas échéant, les coûts d'anonymisation, de pseudonymisation, d'agrégation et d'adaptation technique, et une marge raisonnable. À la demande de l'organisme du secteur public, de la Commission, de la Banque centrale européenne ou de l'organe de l'Union, le détenteur de données fournit des informations sur la base du calcul des coûts et de la marge raisonnable.

3. Le paragraphe 2 s'applique également lorsqu'une microentreprise ou une petite entreprise demande une compensation pour la mise à disposition de données.

4. Les détenteurs de données ne sont pas habilités à recevoir une compensation pour la mise à disposition de données à la suite d'une demande présentée au titre de l'article 15, paragraphe 1, point b), lorsque la mission spécifique effectuée dans l'intérêt public consiste en la production de statistiques officielles et que l'achat de données n'est pas autorisé par le droit national. Les États membres adressent une notification à la Commission lorsque le droit national n'autorise pas l'achat de données en vue de la production de statistiques officielles.

5. Lorsque l'organisme du secteur public, la Commission, la Banque centrale européenne ou l'organe de l'Union conteste le niveau de compensation demandé par le détenteur de données, il ou elle peut introduire une réclamation auprès de l'autorité compétente désignée en vertu de l'article 37 de l'État membre dans lequel le détenteur de données est établi.

Article 25

Clauses contractuelles concernant le changement de fournisseur

1. Les droits du client et les obligations du fournisseur de services de traitement de données dans le cadre d'un changement de fournisseur entre des fournisseurs de ces services ou, le cas échéant, le passage à une infrastructure TIC sur site sont clairement énoncés dans un contrat écrit. Le fournisseur de services de traitement de données met le contrat à la disposition du client avant la signature du contrat d'une manière qui permet à ce dernier de le stocker et de le reproduire.

2. Sans préjudice de la directive (UE) 2019/770, le contrat visé au paragraphe 1 du présent article comporte au moins les éléments suivants:

des clauses permettant au client, sur demande, de passer à un service de traitement de données proposé par un fournisseur de services de traitement de données différent ou de porter toutes les données exportables et tous les actifs numériques vers une infrastructure TIC sur site, sans retard injustifié et, en tout état de cause, pas après la période transitoire maximale obligatoire de trente jours calendaires prenant effet au terme du délai de préavis maximal visé au point d), période pendant laquelle le contrat de fourniture de service reste applicable et durant laquelle le fournisseur de services de traitement de données:

i)	fournit une assistance raisonnable au client et aux tiers autorisés par le client dans le cadre du processus de changement de fournisseur;

ii)	agit avec la diligence requise pour maintenir la continuité des activités et poursuivre la fourniture des fonctions ou services au titre du contrat;

iii)	fournit des informations claires sur les risques connus, qui relèvent du fournisseur d'origine de services de traitement de données, pour la continuité de la fourniture des fonctions ou services;

iv)

veille à ce qu'un niveau élevé de sécurité soit maintenu tout au long du processus de changement de fournisseur, en particulier en ce qui concerne la sécurité des données pendant leur transfert et le maintien de la sécurité des données pendant la période de récupération indiquée au point g), conformément au droit de l'Union ou au droit national applicables;

b)	une obligation pour le fournisseur de services de traitement de données de concourir à la stratégie de sortie du client concernant les services couverts par le contrat, y compris en communiquant toutes les informations pertinentes;

une clause précisant que le contrat est considéré comme étant résilié et que la résiliation est notifiée au client dans l'un des cas suivants:

i)	le cas échéant, lorsque le processus de changement de fournisseur est achevé avec succès;

ii)	au terme du délai de préavis maximal visé au point d), lorsque le client ne souhaite pas changer de fournisseur mais souhaite effacer ses données exportables et actifs numériques lors de la résiliation du service;

d)	un délai de préavis maximal pour le lancement du processus de changement de fournisseur, qui ne dépasse pas deux mois;

e)	une spécification exhaustive de toutes les catégories de données et d'actifs numériques qui peuvent être portées pendant le processus de changement de fournisseur, y compris, au minimum, toutes les données exportables;

une spécification exhaustive des catégories de données spécifiques au fonctionnement interne du service de traitement de données du fournisseur qui doivent être exclues des données exportables au titre du point e) du présent paragraphe lorsqu'il existe un risque de violation des secrets d'affaires du fournisseur, à condition que ces exclusions n'entravent ni ne retardent le processus de changement de fournisseur prévu à l'article 23;

g)	une période minimale d'au moins trente jours calendaires pour la récupération des données, débutant après la fin de la période transitoire convenue entre le client et le fournisseur de services de traitement de données, conformément au point a) du présent paragraphe et au paragraphe 4;

une clause garantissant l'effacement intégral de toutes les données exportables et de tous les actifs numériques générés directement par le client, ou se rapportant directement au client, après l'expiration de la période de récupération visée au point g) ou après l'expiration d'une autre période convenue à une date postérieure à la date d'expiration de la période de récupération visée au point g), à condition que le processus de changement de fournisseur soit achevé avec succès;

i)	les frais de changement de fournisseur pouvant être facturés par les fournisseurs de services de traitement de données conformément à l'article 29.

3. Le contrat visé au paragraphe 1 comprend notamment des clauses prévoyant que le client peut notifier au fournisseur de services de traitement de données sa décision de prendre une ou plusieurs des mesures suivantes à la fin du délai de préavis maximal visé au paragraphe 2, point d):

a)	passer à un fournisseur de services de traitement de données différent, auquel cas le client fournit les renseignements nécessaires concernant ce fournisseur;

b)	passer à une infrastructure TIC sur site;

c)	effacer ses données exportables et ses actifs numériques.

4. Lorsqu'il est techniquement impossible de respecter la période transitoire maximale obligatoire prévue au paragraphe 2, point a), le fournisseur de services de traitement de données en informe le client dans un délai de quatorze jours ouvrables à compter de la présentation de la demande de changement de fournisseur, motive dûment l'impossibilité technique et indique une autre période transitoire, qui ne peut excéder sept mois. Conformément au paragraphe 1, la continuité du service est assurée tout au long de l'autre période transitoire.

5. Sans préjudice du paragraphe 4, le contrat visé au paragraphe 1 contient des clauses accordant au client le droit de prolonger la période transitoire une fois pour une durée que le client juge plus appropriée à ses propres fins.

Article 30

Aspects techniques du changement de fournisseur

1. Les fournisseurs de services de traitement de données qui concernent des ressources informatiques modulables et variables limitées à des éléments d'infrastructure tels que les serveurs, les réseaux et les ressources virtuelles nécessaires à l'exploitation de l'infrastructure, sans donner accès aux services, logiciels et applications d'exploitation qui sont stockés, autrement traités ou déployés sur ces éléments d'infrastructure, prennent, conformément à l'article 27, toutes les mesures raisonnables en leur pouvoir afin de faciliter une équivalence fonctionnelle pour le client dans l'utilisation du service de traitement de données de destination, après qu'il soit passé à un service couvrant le même type de service. Le fournisseur d'origine de services de traitement de données facilite le processus de changement de fournisseur en fournissant des capacités, les informations adéquates, de la documentation, une assistance technique et, le cas échéant, les outils nécessaires.

2. Les fournisseurs de services de traitement de données, autres que ceux visés au paragraphe 1, mettent gratuitement et dans la même mesure à la disposition de tous leurs clients et des fournisseurs de destination de services de traitement de données concernés des interfaces ouvertes afin de faciliter le processus de changement de fournisseur. Ces interfaces contiennent des informations suffisantes sur le service concerné pour permettre le développement de logiciels capables de communiquer avec les services, aux fins de la portabilité et de l'interopérabilité des données.

3. Pour les services de traitement de données autres que ceux visés au paragraphe 1 du présent article, les fournisseurs de services de traitement de données assurent la compatibilité avec les spécifications communes fondées sur des spécifications d'interopérabilité ouvertes ou les normes harmonisées d'interopérabilité au moins douze mois après que les références à ces spécifications communes ou à ces normes harmonisées pour l'interopérabilité des services de traitement des données ont été publiées dans le répertoire central des normes de l'Union pour l'interopérabilité des services de traitement de données à la suite de la publication des actes d'exécution sous-jacents au Journal officiel de l'Union européenne conformément à l'article 35, paragraphe 8.

4. Les fournisseurs de services de traitement de données autres que ceux visés au paragraphe 1 du présent article mettent à jour le registre en ligne visé à l'article 26, point b), conformément aux obligations qui leur incombent au titre du paragraphe 3 du présent article.

5. En cas de changement de services du même type de service, pour lequel des spécifications communes ou des normes harmonisées pour l'interopérabilité visées au paragraphe 3 du présent article n'ont pas été publiées dans le répertoire central des normes de l'Union pour l'interopérabilité des services de traitement de données conformément à l'article 35, paragraphe 8, le fournisseur des services de traitement de données exporte, à la demande du client, toutes les données exportables, dans un format structuré, couramment utilisé et lisible par machine.

6. Les fournisseurs de services de traitement de données ne sont pas tenus de développer de nouvelles technologies ou de nouveaux services, ou de divulguer ou transférer des actifs numériques qui sont protégés par des droits de propriété intellectuelle ou qui constituent un secret d'affaires, à un client ou à un fournisseur de services de traitement de données différent ou de compromettre la sécurité et l'intégrité du service du client ou du fournisseur.

Article 37

Autorités compétentes et coordinateurs de données

1. Chaque État membre désigne une ou plusieurs autorités compétentes chargées de l'application et de l'exécution du présent règlement (ci-après dénommées "autorités compétentes"). Les États membres peuvent mettre en place une ou plusieurs nouvelles autorités ou s'appuyer sur des autorités existantes.

2. Lorsqu'un État membre désigne plus d'une autorité compétente, il désigne un coordinateur de données parmi celles-ci afin de faciliter la coopération entre les autorités compétentes et afin d'aider les entités relevant du champ d'application du présent règlement sur toutes les questions liées à son application et à son exécution. Les autorités compétentes coopèrent entre elles dans l'exercice des missions et pouvoirs qui leur sont conférés au titre du paragraphe 5.

3. Les autorités de contrôle chargées de surveiller l'application du règlement (UE) 2016/679 sont chargées de surveiller l'application du présent règlement en ce qui concerne la protection des données à caractère personnel. Les chapitres VI et VII du règlement (UE) 2016/679 s'appliquent mutatis mutandis.

Le Contrôleur européen de la protection des données est chargé de surveiller l'application du présent règlement dans la mesure où il concerne la Commission, la Banque centrale européenne ou des organes de l'Union. Le cas échéant, l'article 62 du règlement (UE) 2018/1725 s'applique mutatis mutandis.

Les autorités de contrôle visées au présent paragraphe exercent leurs missions et leurs pouvoirs à l'égard du traitement des données à caractère personnel.

4. Sans préjudice du paragraphe 1 du présent article:

a)	pour les questions spécifiques sur l'accès aux données sectorielles et leur utilisation en lien avec l'application du présent règlement, la compétence des autorités sectorielles est respectée;

b)	l'autorité compétente chargée de l'application et de l'exécution des articles 23 à 31 et des articles 34 et 35 dispose d'une expérience dans le domaine des données et des services de communications électroniques.

5. Les États membres veillent à ce que les missions et pouvoirs des autorités compétentes soient clairement définis et incluent:

a)	la promotion de l'éducation aux données et la sensibilisation des utilisateurs et des entités relevant du champ d'application du présent règlement aux droits et obligations découlant du présent règlement;

le traitement des réclamations découlant des infractions alléguées au présent règlement, y compris en lien avec des secrets d'affaires, l'examen de l'objet de la réclamation, dans la mesure nécessaire, et l'information à intervalles réguliers de l'auteur de la réclamation, le cas échéant conformément au droit national, sur l'état d'avancement et l'issue de l'enquête dans un délai raisonnable, notamment si un complément d'enquête ou une coordination avec une autre autorité compétente est nécessaire;

c)	la réalisation d'enquêtes sur des questions concernant l'application du présent règlement, y compris sur la base d'informations reçues d'une autre autorité compétente ou d'une autre autorité publique;

d)	l'imposition de sanctions financières effectives, proportionnées et dissuasives, pouvant comporter des astreintes et des sanctions avec effet rétroactif, ou l'engagement de procédures judiciaires en vue d'infliger des amendes;

e)	le suivi des évolutions technologiques et commerciales pertinentes pour la mise à disposition et l'utilisation des données;

la coopération avec les autorités compétentes d'autres États membres, et, le cas échéant, avec la Commission ou le comité européen de l'innovation dans le domaine des données, pour garantir l'application cohérente et efficace du présent règlement, y compris l'échange de toutes les informations pertinentes par voie électronique, sans retard injustifié, y compris en ce qui concerne le paragraphe 10 du présent article;

la coopération avec les autorités compétentes concernées chargées de la mise en œuvre d'autres actes juridiques de l'Union ou nationaux, y compris avec les autorités compétentes dans le domaine des données et des services de communications électroniques, avec l'autorité de contrôle chargée de surveiller l'application du règlement (UE) 2016/679 ou avec les autorités sectorielles afin de veiller à ce que le présent règlement soit appliqué de manière cohérente par rapport aux autres dispositions du droit de l'Union et du droit national;

la coopération avec les autorités compétentes concernées afin de veiller à ce que les articles 23 à 31 et les articles 34 et 35 soient exécutées de manière cohérente par rapport au droit de l'Union et aux mesures d'autoréglementation applicables aux fournisseurs de services de traitement de données;

i)	l'assurance que les frais de changement de fournisseur sont supprimés conformément à l'article 29;

j)	l'examen des demandes de données introduites en application du chapitre V.

Lorsqu'un coordinateur de données a été désigné, il facilite la coopération visée aux points f), g) et h) du premier alinéa et assiste les autorités compétentes à leur demande.

6. Lorsqu'une telle autorité compétente a été désignée, le coordinateur de données:

a)	fait office de point de contact unique pour toutes les questions liées à l'application du présent règlement;

veille à ce que soient mises à la disposition du public en ligne les demandes de mise à disposition des données présentées par des organismes du secteur public en cas de besoin exceptionnel au titre du chapitre V et encourage les accords de partage volontaire de données entre les organismes du secteur public et les détenteurs de données;

c)	informe annuellement la Commission des refus notifiés au titre de l'article 4, paragraphes 2 et 8, et de l'article 5, paragraphe 11.

7. Les États membres communiquent à la Commission le nom des autorités compétentes ainsi que leurs missions et pouvoirs et, le cas échéant, le nom du coordinateur de données. La Commission tient un registre public de ces autorités.

8. Lorsqu'elles accomplissent leurs missions et exercent leurs pouvoirs conformément au présent règlement, les autorités compétentes restent impartiales et libres de toute influence extérieure, qu'elle soit directe ou indirecte, et ne sollicitent ni n'acceptent, pour des cas individuels, d'instructions d'aucune autre autorité publique ni d'aucune entité privée.

9. Les États membres veillent à ce que les autorités compétentes disposent de ressources humaines et techniques suffisantes et de l'expertise adéquate pour s'acquitter efficacement de leurs missions conformément au présent règlement.

10. Les entités relevant du champ d'application du présent règlement sont soumises à la compétence de l'État membre dans lequel elles sont établies. Lorsque l'entité est établie dans plus d'un État membre, elle est considérée comme relevant de la compétence de l'État membre dans lequel se trouve son établissement principal, c'est-à-dire là où l'entité a son siège social ou son siège statutaire d'où sont exercés les principales fonctions financières et le contrôle opérationnel.

11. Toute entité relevant du champ d'application du présent règlement qui met des produits connectés à disposition ou propose des services connexes dans l'Union et qui n'est pas établie dans l'Union désigne un représentant légal dans l'un des États membres.

12. Aux fins de garantir le respect du présent règlement, un représentant légal est mandaté par une entité relevant du champ d'application du présent règlement qui met des produits connectés à disposition ou propose des services connexes dans l'Union pour être contacté, en plus de ladite entité ou à sa place, par les autorités compétentes en ce qui concerne toutes les questions liées à cette entité. Ce représentant légal coopère avec les autorités compétentes et leur démontre de manière exhaustive, sur demande, les mesures prises et les dispositions mises en place par l'entité relevant du champ d'application du présent règlement qui met des produits connectés à disposition ou propose des services connexes dans l'Union pour garantir le respect du présent règlement.

13. Une entité relevant du champ d'application du présent règlement qui met à disposition des produits connectés ou propose des services dans l'Union est considérée comme relevant de la compétence de l'État membre dans lequel se trouve son représentant légal. La désignation d'un représentant légal par une telle entité est sans préjudice de la responsabilité de cette entité et des actions en justice qui pourraient être intentées contre elle. Jusqu'à ce qu'une entité désigne un représentant légal conformément au présent article, elle relève de la compétence de tous les États membres, le cas échéant, aux fins de garantir l'application et l'exécution du présent règlement. Toute autorité compétente peut exercer sa compétence, y compris en imposant des sanctions effectives, proportionnées et dissuasives, pour autant que l'entité ne fasse pas l'objet d'une procédure d'exécution au titre du présent règlement portant sur les mêmes faits par une autre autorité compétente.

14. Les autorités compétentes sont habilitées à demander aux utilisateurs, aux détenteurs de données ou aux destinataires de données, ou à leurs représentants légaux, qui relèvent de la compétence de leur État membre toutes les informations nécessaires pour vérifier le respect du présent règlement. Toute demande d'information est proportionnée à l'accomplissement de la mission sous-jacente et est motivée.

15. Lorsqu'une autorité compétente dans un État membre sollicite l'assistance d'une autorité compétente d'un autre État membre ou l'application de mesures d'exécution par celle-ci, elle présente une demande motivée. Lorsqu'elle reçoit une telle demande, une autorité compétente fournit, sans retard injustifié, une réponse détaillant les mesures qui ont été prises ou qu'il est prévu de prendre.

16. Les autorités compétentes respectent les principes de confidentialité et de secret professionnel et commercial et protègent les données à caractère personnel conformément au droit de l'Union ou au droit national. Toutes les informations échangées dans le cadre d'une demande d'assistance et fournies en vertu du présent article ne sont utilisées qu'aux fins pour lesquelles elles ont été demandées.

Article 38

Droit d'introduire une réclamation

1. Sans préjudice de tout autre recours administratif ou juridictionnel, les personnes physiques et morales ont le droit d'introduire une réclamation, individuellement ou, le cas échéant, collectivement, auprès de l'autorité compétente concernée dans l'État membre dans lequel se trouve leur résidence habituelle, leur lieu de travail ou leur lieu d'établissement, si elles considèrent qu'il a été porté atteinte aux droits que leur confère le présent règlement. Le coordinateur de données fournit, sur demande, aux personnes physiques et morales toutes les informations nécessaires à l'introduction de leur réclamation auprès de l'autorité compétente concernée.

2. L'autorité compétente auprès de laquelle la réclamation a été introduite informe l'auteur de la réclamation, conformément au droit national, de l'état d'avancement de la procédure et de la décision prise.

3. Les autorités compétentes coopèrent pour gérer et traiter les réclamations de manière efficace et rapide, y compris en échangeant toutes les informations pertinentes par voie électronique, sans retard injustifié. Cette coopération n'affecte pas les mécanismes de coopération prévus aux chapitres VI et VII du règlement (UE) 2016/679 et ceux prévus par le règlement (UE) 2017/2394.

Article 40

Sanctions

1. Les États membres déterminent le régime des sanctions applicables aux violations du présent règlement et prennent toutes les mesures nécessaires pour assurer la mise en œuvre de ces sanctions. Ces sanctions doivent être effectives, proportionnées et dissuasives.

2. Les États membres informent la Commission, au plus tard le 12 septembre 2025, du régime ainsi déterminé et des mesures ainsi prises, de même que, sans retard, de toute modification apportée ultérieurement à ce régime ou à ces mesures. La Commission tient et met à jour régulièrement un registre public facilement accessible de ces mesures.

3. Les États membres tiennent compte des recommandations du comité européen de l'innovation dans le domaine des données et des critères non exhaustifs suivants pour l'imposition de sanctions en cas de violation du présent règlement:

a)	la nature, la gravité, l'ampleur et la durée de l'infraction;

b)	toute mesure prise par l'auteur de l'infraction pour atténuer ou réparer le préjudice causé par l'infraction;

c)	toute infraction antérieure commise par l'auteur de l'infraction;

d)	les avantages financiers obtenus ou les pertes évitées par l'auteur de l'infraction en raison de l'infraction, si ces avantages ou pertes peuvent être établis de manière fiable;

e)	toute autre circonstance aggravante ou atténuante applicable au cas concerné;

f)	le chiffre d'affaires annuel réalisé par l'auteur de l'infraction au cours de l'exercice précédent dans l'Union.

4. En ce qui concerne les infractions aux obligations prévues aux chapitres II, III et V du présent règlement, les autorités de contrôle chargées de surveiller l'application du règlement (UE) 2016/679 peuvent, dans les limites de leur compétence, imposer des amendes administratives conformément à l'article 83 du règlement (UE) 2016/679, jusqu'à concurrence du montant visé à l'article 83, paragraphe 5, dudit règlement.

5. En ce qui concerne les infractions aux obligations prévues au chapitre V du présent règlement, le Contrôleur européen de la protection des données peut, dans les limites de sa compétence, imposer des amendes administratives conformément à l'article 66 du règlement (UE) 2018/1725, à concurrence du montant visé à l'article 66, paragraphe 3, dudit règlement.

Article 49

Évaluation et réexamen

1. Au plus tard le 12 septembre 2028, la Commission procède à une évaluation du présent règlement et présente ses principales conclusions dans un rapport au Parlement européen et au Conseil, ainsi qu'au Comité économique et social européen. Cette évaluation porte, en particulier, sur les aspects suivants:

les situations qui doivent être considérées comme des situations de besoin exceptionnel aux fins de l'article 15 du présent règlement et de l'application du chapitre V du présent règlement, en particulier l'expérience acquise dans l'application du chapitre V du présent règlement par les organismes du secteur public, la Commission, la Banque centrale européenne et les organes de l'Union; le nombre de procédures engagées auprès de l'autorité compétente au titre de l'article 18, paragraphe 5, concernant l'application du chapitre V du présent règlement et leur issue, telles que déclarées par les autorités compétentes; l'incidence d'autres obligations prévues par le droit de l'Union ou le droit national aux fins de donner suite aux demandes d'accès aux informations; l'incidence des mécanismes de partage volontaire des données, tels que ceux mis en place par des organisations altruistes en matière de données reconnues en vertu du règlement (UE) 2022/868, sur la réalisation des objectifs du chapitre V du présent règlement, et le rôle des données à caractère personnel dans le contexte de l'article 15 du présent règlement, y compris l'évolution des technologies renforçant la protection de la vie privée;

l'incidence du présent règlement sur l'utilisation des données dans l'économie, y compris sur l'innovation dans le domaine des données, les pratiques de monétisation des données et les services d'intermédiation de données, ainsi que sur le partage de données au sein des espaces européens communs des données;

c)	l'accessibilité et l'utilisation des différentes catégories et des différents types de données;

d)	l'exclusion de certaines catégories d'entreprises en tant que bénéficiaires au titre de l'article 5;

e)	l'absence de toute incidence sur les droits de propriété intellectuelle;

l'incidence sur les secrets d'affaires, y compris sur la protection contre leur obtention, leur utilisation et leur divulgation illicites, ainsi que l'incidence du mécanisme permettant au détenteur de données de refuser la demande de l'utilisateur au titre de l'article 4, paragraphe 8, et de l'article 5, paragraphe 11, en tenant compte, dans la mesure du possible, de toute révision de la directive (UE) 2016/943;

g)	la question de savoir si la liste des clauses contractuelles abusives visée à l'article 13 est à jour à la lumière des nouvelles pratiques commerciales et du rythme rapide de l'innovation sur le marché;

h)	les changements dans les pratiques contractuelles des fournisseurs de services de traitement de données et la question de savoir si cela se traduit par un respect suffisant de l'article 25;

i)	la réduction des frais imposés par les fournisseurs de services de traitement de données pour le processus de changement de fournisseur, en conformité avec la suppression progressive des frais de changement de fournisseur en vertu de l'article 29;

j)	l'interaction du présent règlement avec d'autres actes juridiques de l'Union présentant un intérêt pour l'économie fondée sur les données;

k)	la prévention de tout accès illicite des pouvoirs publics aux données à caractère non personnel;

l)	l'efficacité du système de contrôle d'application requis au titre de l'article 37;

m)	les effets du présent règlement sur les PME en ce qui concerne leur capacité d'innovation, la disponibilité des services de traitement des données pour les utilisateurs dans l'Union et la charge que représente le respect de nouvelles obligations.

2. Au plus tard le 12 septembre 2028, la Commission procède à une évaluation du présent règlement et présente au Parlement européen et au Conseil, ainsi qu'au Comité économique et social européen, un rapport reprenant ses principales conclusions. Cette évaluation porte sur les effets des articles 23 à 31 et des articles 34 et 35, en particulier en ce qui concerne la tarification et la diversité des services de traitement de données offerts au sein de l'Union, en accordant une attention particulière aux PME en tant que fournisseurs.

3. Les États membres fournissent à la Commission les informations nécessaires à l'établissement des rapports visés aux paragraphes 1 et 2.

4. Sur la base des rapports visés aux paragraphes 1 et 2, la Commission peut, le cas échéant, présenter au Parlement européen et au Conseil une proposition législative de modification du présent règlement.

whereas

keyboard_tab Data Act 2023/2854 FR

Data Act 2023/2854 FR