Data Act 2023/2854 FR

a)	la mise à disposition de données relatives au produit et de données relatives au service connexe au profit de l'utilisateur du produit connecté ou du service connexe;

b)	la mise à disposition de données par les détenteurs de données au profit des destinataires de données;

la mise à disposition de données par les détenteurs de données au profit d'organismes du secteur public, de la Commission, de la Banque centrale européenne et d'organes de l'Union, lorsqu'il existe un besoin exceptionnel de disposer de ces données pour exécuter une mission spécifique d'intérêt public;

d)	la facilitation du changement de de service de traitement de données;

e)	l'introduction de garanties contre l'accès illicite de tiers à des données à caractère non personnel; et

f)	le développement de normes d'interopérabilité pour les données auxquelles il doit être accédé, qui doivent être transférées et qui doivent être utilisées.

2. Le présent règlement couvre les données à caractère personnel et non personnel, y compris les types de données ci-après, dans les contextes suivants:

a)	le chapitre II s'applique aux données, à l'exception du contenu, relatives à la performance, à l'utilisation et à l'environnement des produits connectés et des services connexes;

b)	le chapitre III s'applique aux données du secteur privé qui sont soumises à des obligations légales de partage des données;

c)	le chapitre IV s'applique aux données du secteur privé auxquelles il est accédé et qui sont utilisées sur la base d'un contrat entre entreprises;

d)	le chapitre V s'applique aux données du secteur privé, en particulier les données à caractère non personnel;

e)	le chapitre VI s'applique aux données et aux services traités par des fournisseurs de services de traitement de données;

f)	le chapitre VII s'applique aux données à caractère non personnel détenues dans l'Union par des fournisseurs de services de traitement de données.

3. Le présent règlement s'applique:

a)	aux fabricants de produits connectés mis sur le marché de l'Union et aux fournisseurs de services connexes, quel que soit le lieu d'établissement de ces fabricants et fournisseurs;

b)	aux utilisateurs dans l'Union de produits connectés ou de services connexes tels qu'ils sont visés au point a);

c)	aux détenteurs de données, quel que soit leur lieu d'établissement, qui mettent des données à la disposition de destinataires de données dans l'Union;

d)	aux destinataires de données dans l'Union au profit desquels des données sont mises à disposition;

aux organismes du secteur public, à la Commission, à la Banque centrale européenne et aux organes de l'Union qui demandent aux détenteurs de données de mettre des données à disposition lorsqu'il existe un besoin exceptionnel de disposer de ces données pour exécuter une mission spécifique d'intérêt public, ainsi qu'aux détenteurs de données qui fournissent ces données en réponse à une telle demande;

f)	aux fournisseurs de services de traitement de données, quel que soit leur lieu d'établissement, fournissant de tels services à des clients dans l'Union;

g)	aux participants à des espaces de données et aux vendeurs d'applications utilisant des contrats intelligents et aux personnes dont l'activité commerciale, l'entreprise ou la profession implique le déploiement de contrats intelligents pour des tiers dans le cadre de l'exécution d'un accord.

4. Lorsque le présent règlement fait référence à des produits connectés ou à des services connexes, ces références s'entendent également comme incluant également les assistants virtuels, dans la mesure où ceux-ci interagissent avec un produit connecté ou un service connexe.

5. Le présent règlement est sans préjudice du droit de l'Union et du droit national en matière de protection des données à caractère personnel, de la vie privée et de la confidentialité des communications et de l'intégrité des équipements terminaux, qui s'appliquent aux données à caractère personnel traitées en lien avec les droits et obligations énoncés dans le présent règlement, en particulier des règlements (UE) 2016/679 et (UE) 2018/1725 et de la directive 2002/58/CE, y compris des pouvoirs et des compétences des autorités de contrôle et des droits des personnes concernées. Dans la mesure où les utilisateurs sont les personnes concernées, les droits fixés au chapitre II du présent règlement complètent les droits d'accès par les personnes concernées et les droits à la portabilité des données prévus aux articles 15 et 20 du règlement (UE) 2016/679. En cas de conflit entre le présent règlement et le droit de l'Union en matière de protection des données à caractère personnel ou de vie privée, ou la législation nationale adoptée conformément audit droit de l'Union, les dispositions pertinentes du droit de l'Union ou du droit national en matière de protection des données à caractère personnel ou de vie privée prévalent.

6. Le présent règlement ne s'applique pas aux accords volontaires d'échange de données entre entités privées et publiques, en particulier aux accords volontaires de partage de données, ni ne les remplace.

Le présent règlement n'affecte pas les actes juridiques de l'Union ou nationaux prévoyant l'accès aux données, le partage et l'utilisation de données à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, ou à des fins douanières et fiscales, en particulier les règlements (UE) 2021/784, (UE) 2022/2065 et (UE) 2023/1543 et la directive (UE) 2023/1544, ou sur la coopération internationale dans ce domaine. Le présent règlement ne s'applique pas à la collecte ou au partage de données, ni à l'accès aux données ou à l'utilisation de données au titre du règlement (UE) 2015/847 et de la directive (UE) 2015/849. Le présent règlement ne s'applique pas aux domaines qui ne relèvent pas du champ d'application du droit de l'Union et, en tout état de cause, ne porte pas atteinte aux compétences des États membres en matière de sécurité publique, de défense ou de sécurité nationale, quel que soit le type d'entité chargée par les États membres d'exécuter des tâches en rapport avec ces compétences, ou leur pouvoir de préserver d'autres fonctions essentielles de l'État, notamment celles qui ont pour objet d'assurer l'intégrité territoriale de l'État et de maintenir l'ordre public. Le présent règlement ne porte pas atteinte aux compétences des États membres en matière de douanes et d'administration fiscale, ou de santé et de sécurité des citoyens.

7. Le présent règlement complète l'approche d'autorégulation suivie par le règlement (UE) 2018/1807 en ajoutant des obligations d'application générale en matière de changement de fournisseur de services d'informatique en nuage.

8. Le présent règlement est sans préjudice des actes juridiques de l'Union et nationaux prévoyant la protection des droits de propriété intellectuelle, notamment les directives 2001/29/CE, 2004/48/CE et (UE) 2019/790.

9. Le présent règlement complète le droit de l'Union qui vise à promouvoir les intérêts des consommateurs et à assurer un niveau élevé de protection des consommateurs, et à protéger leur santé, leur sécurité et leurs intérêts économiques, en particulier les directives 93/13/CEE, 2005/29/CE et 2011/83/UE, et il est sans préjudice dudit droit de l'Union.

10. Le présent règlement ne fait pas obstacle à la conclusion de contrats portant sur le partage volontaire et licite de données, y compris de contrats conclus sur une base réciproque, qui respectent les exigences fixées par le présent règlement.

Article 10

Règlement des litiges

1. Les utilisateurs, les détenteurs de données et les destinataires de données ont accès à un organe de règlement des litiges, certifié conformément au paragraphe 5 du présent article, pour régler les litiges en vertu de l'article 4, paragraphes 3 et 9, et de l'article 5, paragraphe 12, ainsi que les litiges portant sur les modalités et conditions équitables, raisonnables et non discriminatoires applicables à la mise à disposition de données et à la façon de mettre ces données à disposition en toute transparence conformément au présent chapitre et au chapitre IV.

2. Les organes de règlement des litiges informent les parties concernées des frais, ou des mécanismes utilisés pour les déterminer, avant que ces parties ne demandent une décision.

3. Pour les litiges portés devant un organe de règlement des litiges en vertu de l'article 4, paragraphes 3 et 9, et de l'article 5, paragraphe 12, lorsque l'organe de règlement des litiges se prononce sur un litige en faveur de l'utilisateur ou du destinataire de données, le détenteur de données supporte tous les frais facturés par l'organe de règlement des litiges et rembourse à cet utilisateur ou à ce destinataire de données toute autre dépense raisonnable qu'il a supportée en lien avec le règlement du litige. Lorsque l'organe de règlement des litiges se prononce sur un litige en faveur du détenteur de données, l'utilisateur ou le destinataire de données n'est pas tenu de rembourser les frais ou autres dépenses que le détenteur de données a engagés ou dont il est redevable en lien avec le règlement du litige, à moins que l'organe de règlement des litiges ne constate que l'utilisateur ou le destinataire de données a manifestement agi de mauvaise foi.

4. Les clients et les fournisseurs de services de traitement de données ont accès à un organe de règlement des litiges, certifié conformément au paragraphe 5 du présent article, pour régler les litiges relatifs aux violations des droits des clients et aux obligations des fournisseurs de services de traitement de données conformément aux articles 23 à 31.

5. L'État membre dans lequel l'organe de règlement des litiges est établi certifie cet organe à sa demande, lorsqu'il a démontré qu'il remplit toutes les conditions suivantes:

a)	il est impartial et indépendant et doit rendre ses décisions conformément à des règles de procédure claires, non discriminatoires et équitables;

il dispose de l'expertise nécessaire, en particulier en ce qui concerne les modalités et conditions équitables, raisonnables et non discriminatoires, y compris en matière de compensation, et en ce qui concerne la mise à disposition de données en toute transparence, ce qui permet à l'organisme de déterminer efficacement ces modalités et conditions;

c)	il est facilement accessible au moyen de technologies de communication électronique;

d)	il est en mesure d'adopter ses décisions de manière rapide, efficace et économiquement avantageuse, dans au moins une langue officielle de l'Union.

6. Les États membres notifient à la Commission la liste des organes de règlement des litiges certifiés conformément au paragraphe 5. La Commission publie une liste de ces organes sur un site internet spécifique et la tient à jour.

7. Un organe de règlement des litiges refuse de traiter une demande de règlement d'un litige qui a déjà été porté devant un autre organe de règlement des litiges ou devant une juridiction d'un État membre.

8. Un organe de règlement des litiges donne aux parties la possibilité, dans un délai raisonnable, d'exprimer leur point de vue sur les questions qu'elles ont soumises à cet organe. Dans ce contexte, chaque partie à un litige se voit communiquer les observations de l'autre partie au litige et toute déclaration faite par des experts. Les parties ont la possibilité de formuler des observations sur ces observations et déclarations.

9. Un organe de règlement des litiges prend sa décision sur toute question qui lui est soumise dans un délai de 90 jours à compter de la réception d'une demande présentée en vertu des paragraphes 1 et 4. Cette décision est formulée par écrit ou sur un support durable et est étayée par un exposé des motifs.

10. Les organes de règlement des litiges rédigent et rendent publics des rapports annuels d'activité. Ces rapports annuels incluent en particulier les informations générales suivantes:

a)	une agrégation des résultats des litiges;

b)	le laps de temps moyen nécessaire à la résolution des litiges;

c)	les causes les plus courantes de litiges.

11. Afin de faciliter l'échange d'informations et de bonnes pratiques, un organe de règlement des litiges peut décider d'inclure des recommandations dans le rapport visé au paragraphe 10 sur la manière dont les problèmes peuvent être évités ou résolus.

12. La décision d'un organe de règlement des litiges n'est contraignante pour les parties que si celles-ci ont expressément consenti à son caractère contraignant avant le début de la procédure de règlement du litige.

13. Le présent article ne porte pas atteinte au droit des parties de former un recours effectif devant une juridiction d'un État membre.

Article 11

Mesures techniques de protection relatives à l'utilisation ou à la divulgation non autorisées de données

1. Un détenteur de données peut appliquer des mesures techniques appropriées de protection, y compris des contrats intelligents et le chiffrement, afin d'empêcher l'accès non autorisé aux données, y compris les métadonnées, et de garantir le respect des articles 4, 5, 6, 8 et 9, ainsi que des clauses contractuelles convenues pour la mise à disposition des données. Ces mesures techniques de protection ne doivent pas donner lieu à une discrimination entre les destinataires de données ni porter atteinte au droit de l'utilisateur d'obtenir une copie des données, de les récupérer, de les utiliser ou d'y accéder, de fournir des données à des tiers conformément à l'article 5 ou aux droits des tiers au titre du droit de l'Union ou de la législation nationale adoptée conformément au droit de l'Union. Les utilisateurs, les tiers et les destinataires de données ne modifient pas ni ne suppriment de telles mesures techniques de protection, sauf accord du détenteur de données.

2. Dans les circonstances visées au paragraphe 3, le tiers ou le destinataire de données donne suite, sans retard injustifié, aux demandes du détenteur de données et, le cas échéant et s'il ne s'agit pas de la même personne, du détenteur de secrets d'affaires ou de l'utilisateur:

a)	d'effacer les données mises à disposition par le détenteur de données et les éventuelles copies de celles-ci;

de mettre fin à la production, à l'offre ou à la mise sur le marché ou à l'utilisation de biens, de données dérivées ou de services produits sur la base des connaissances obtenues au moyen de ces données, ou à l'importation, à l'exportation ou au stockage de biens non conformes destinés aux fins précitées, et de détruire tout bien non conforme, lorsqu'il existe un risque grave que l'utilisation illicite de ces données cause un préjudice important au détenteur de données, au détenteur de secrets d'affaires ou à l'utilisateur ou lorsqu'une telle mesure ne serait pas disproportionnée au regard des intérêts du détenteur de données, du détenteur de secrets d'affaires ou de l'utilisateur;

c)	d'informer l'utilisateur de l'utilisation ou de la divulgation non autorisées des données et des mesures prises pour mettre fin à l'utilisation ou à la divulgation non autorisée des données;

d)	d'indemniser la partie lésée par l'utilisation abusive ou la divulgation de ces données auxquelles il a été accédé illégalement ou qui ont été utilisées illégalement.

3. Le paragraphe 2 s'applique lorsqu'un tiers ou un destinataire de données:

a)	aux fins de l'obtention de données, a fourni de fausses informations à un détenteur de données, a eu recours à des moyens trompeurs ou coercitifs ou a tiré avantage de lacunes dans l'infrastructure technique du détenteur de données destinée à protéger les données;

b)	a utilisé les données mises à disposition à des fins non autorisées, y compris le développement d'un produit connecté concurrent au sens de l'article 6, paragraphe 2, point e);

c)	a divulgué illégalement des données à une autre partie;

d)	n'a pas maintenu les mesures techniques et organisationnelles convenues en vertu de l'article 5, paragraphe 9; ou

e)	a modifié ou supprimé des mesures techniques de protection appliquées par le détenteur de données en vertu du paragraphe 1 du présent article sans l'accord du détenteur de données.

4. Le paragraphe 2 s'applique également lorsqu'un utilisateur ou un destinataire de données modifie ou retire des mesures techniques de protection appliquées par le détenteur de données ou ne maintient pas des mesures techniques et organisationnelles prises par l'utilisateur en accord avec le détenteur de données ou, s'il ne s'agit pas de la même personne, le détenteur de secrets d'affaires, afin de préserver les secrets d'affaires, ainsi qu'à l'égard de toute autre partie qui reçoit les données de l'utilisateur à la suite d'une infraction au présent règlement.

5. Lorsque le destinataire de données enfreint l'article 6, paragraphe 2, point a) ou b), les utilisateurs disposent des mêmes droits que les détenteurs de données au titre du paragraphe 2 du présent article.

Article 23

Suppression des obstacles à un changement de fournisseur effectif

Les fournisseurs de services de traitement de données prennent les mesures prévues aux articles 25, 26, 27, 29 et 30 afin de permettre aux clients de changer de fournisseur pour passer à un service de traitement de données, couvrant le même type de service, qui est fourni par un fournisseur de services de traitement de données différent, ou passer à une infrastructure TIC sur site, ou, le cas échéant, recourir simultanément à plusieurs fournisseurs de services de traitement de données. En particulier, les fournisseurs de services de traitement de données n'imposent pas d'obstacles et suppriment les obstacles précommerciaux, commerciaux, techniques, contractuels et organisationnels, qui freinent les clients dans les démarches suivantes:

a)	la résiliation, après le préavis maximal et l'achèvement avec succès du processus de changement de fournisseur, conformément à l'article 25, du contrat portant sur le service de traitement de données;

b)	la conclusion de nouveaux contrats avec un fournisseur de services de traitement de données différent couvrant le même type de service;

c)	le portage des données exportables et des actifs numériques du client vers un fournisseur de services de traitement de données différent ou vers une infrastructure TIC sur site, y compris après avoir bénéficié d'une offre gratuite;

d)	conformément à l'article 24, la réalisation de l'équivalence fonctionnelle lors de l'utilisation du nouveau service de traitement de données dans l'environnement TIC d'un fournisseur de services de traitement de données différent couvrant le même type de service;

e)	le découplage, lorsqu'il est techniquement possible, des services de traitement de données visés à l'article 30, paragraphe 1, des autres services de traitement de données fournis par le fournisseur de services de traitement de données.

Article 25

Clauses contractuelles concernant le changement de fournisseur

1. Les droits du client et les obligations du fournisseur de services de traitement de données dans le cadre d'un changement de fournisseur entre des fournisseurs de ces services ou, le cas échéant, le passage à une infrastructure TIC sur site sont clairement énoncés dans un contrat écrit. Le fournisseur de services de traitement de données met le contrat à la disposition du client avant la signature du contrat d'une manière qui permet à ce dernier de le stocker et de le reproduire.

2. Sans préjudice de la directive (UE) 2019/770, le contrat visé au paragraphe 1 du présent article comporte au moins les éléments suivants:

des clauses permettant au client, sur demande, de passer à un service de traitement de données proposé par un fournisseur de services de traitement de données différent ou de porter toutes les données exportables et tous les actifs numériques vers une infrastructure TIC sur site, sans retard injustifié et, en tout état de cause, pas après la période transitoire maximale obligatoire de trente jours calendaires prenant effet au terme du délai de préavis maximal visé au point d), période pendant laquelle le contrat de fourniture de service reste applicable et durant laquelle le fournisseur de services de traitement de données:

i)	fournit une assistance raisonnable au client et aux tiers autorisés par le client dans le cadre du processus de changement de fournisseur;

ii)	agit avec la diligence requise pour maintenir la continuité des activités et poursuivre la fourniture des fonctions ou services au titre du contrat;

iii)	fournit des informations claires sur les risques connus, qui relèvent du fournisseur d'origine de services de traitement de données, pour la continuité de la fourniture des fonctions ou services;

iv)

veille à ce qu'un niveau élevé de sécurité soit maintenu tout au long du processus de changement de fournisseur, en particulier en ce qui concerne la sécurité des données pendant leur transfert et le maintien de la sécurité des données pendant la période de récupération indiquée au point g), conformément au droit de l'Union ou au droit national applicables;

b)	une obligation pour le fournisseur de services de traitement de données de concourir à la stratégie de sortie du client concernant les services couverts par le contrat, y compris en communiquant toutes les informations pertinentes;

une clause précisant que le contrat est considéré comme étant résilié et que la résiliation est notifiée au client dans l'un des cas suivants:

i)	le cas échéant, lorsque le processus de changement de fournisseur est achevé avec succès;

ii)	au terme du délai de préavis maximal visé au point d), lorsque le client ne souhaite pas changer de fournisseur mais souhaite effacer ses données exportables et actifs numériques lors de la résiliation du service;

d)	un délai de préavis maximal pour le lancement du processus de changement de fournisseur, qui ne dépasse pas deux mois;

e)	une spécification exhaustive de toutes les catégories de données et d'actifs numériques qui peuvent être portées pendant le processus de changement de fournisseur, y compris, au minimum, toutes les données exportables;

une spécification exhaustive des catégories de données spécifiques au fonctionnement interne du service de traitement de données du fournisseur qui doivent être exclues des données exportables au titre du point e) du présent paragraphe lorsqu'il existe un risque de violation des secrets d'affaires du fournisseur, à condition que ces exclusions n'entravent ni ne retardent le processus de changement de fournisseur prévu à l'article 23;

g)	une période minimale d'au moins trente jours calendaires pour la récupération des données, débutant après la fin de la période transitoire convenue entre le client et le fournisseur de services de traitement de données, conformément au point a) du présent paragraphe et au paragraphe 4;

une clause garantissant l'effacement intégral de toutes les données exportables et de tous les actifs numériques générés directement par le client, ou se rapportant directement au client, après l'expiration de la période de récupération visée au point g) ou après l'expiration d'une autre période convenue à une date postérieure à la date d'expiration de la période de récupération visée au point g), à condition que le processus de changement de fournisseur soit achevé avec succès;

i)	les frais de changement de fournisseur pouvant être facturés par les fournisseurs de services de traitement de données conformément à l'article 29.

3. Le contrat visé au paragraphe 1 comprend notamment des clauses prévoyant que le client peut notifier au fournisseur de services de traitement de données sa décision de prendre une ou plusieurs des mesures suivantes à la fin du délai de préavis maximal visé au paragraphe 2, point d):

a)	passer à un fournisseur de services de traitement de données différent, auquel cas le client fournit les renseignements nécessaires concernant ce fournisseur;

b)	passer à une infrastructure TIC sur site;

c)	effacer ses données exportables et ses actifs numériques.

4. Lorsqu'il est techniquement impossible de respecter la période transitoire maximale obligatoire prévue au paragraphe 2, point a), le fournisseur de services de traitement de données en informe le client dans un délai de quatorze jours ouvrables à compter de la présentation de la demande de changement de fournisseur, motive dûment l'impossibilité technique et indique une autre période transitoire, qui ne peut excéder sept mois. Conformément au paragraphe 1, la continuité du service est assurée tout au long de l'autre période transitoire.

5. Sans préjudice du paragraphe 4, le contrat visé au paragraphe 1 contient des clauses accordant au client le droit de prolonger la période transitoire une fois pour une durée que le client juge plus appropriée à ses propres fins.

Article 29

Suppression progressive des frais de changement de fournisseur

1. À compter du 12 janvier 2027, les fournisseurs de services de traitement de données ne peuvent imposer aucun frais de changement de fournisseur au client pour le processus de changement de fournisseur.

2. À compter du 11 janvier 2024 et jusqu'au 12 janvier 2027, les fournisseurs de services de traitement de données peuvent imposer des frais de changement de fournisseur réduits au client, pour le processus de changement de fournisseur.

3. Les frais de changement de fournisseur réduits visés au paragraphe 2 ne dépassent pas les coûts supportés par le fournisseur de services de traitement de données qui sont directement liés au processus de changement de fournisseur concerné.

4. Avant de conclure un contrat avec un client, les fournisseurs de services de traitement de données fournissent au client potentiel des informations claires sur les frais de service standard et les pénalités liées à la résiliation anticipée qui pourraient lui être facturés, ainsi que sur les frais de changement de fournisseur réduits qui pourraient lui être facturés pendant le délai visé au paragraphe 2.

5. Le cas échéant, les fournisseurs de services de traitement de données communiquent à un client des informations sur les services de traitement de données pour lesquels un changement de fournisseur est très complexe ou coûteux ou pour lesquels il est impossible de changer de fournisseur sans qu'il y ait une interférence significative portant sur les données, les actifs numériques ou l'architecture des services.

6. Le cas échéant, les fournisseurs de services de traitement de données mettent les informations visées aux paragraphes 4 et 5 à la disposition des clients publiquement au travers d'une section spécifique de leur site internet ou par tout autre moyen facilement accessible.

7. La Commission est habilitée à adopter des actes délégués conformément à l'article 45 pour compléter le présent règlement en mettant en place un mécanisme de suivi permettant à la Commission de suivre les frais de changement de fournisseur imposés par les fournisseurs de services de traitement de données sur le marché afin de garantir que la suppression et la réduction des frais de changement de fournisseur en vertu des paragraphes 1 et 2 du présent article sont réalisées dans les délais prévus aux mêmes paragraphes.

Article 37

Autorités compétentes et coordinateurs de données

1. Chaque État membre désigne une ou plusieurs autorités compétentes chargées de l'application et de l'exécution du présent règlement (ci-après dénommées "autorités compétentes"). Les États membres peuvent mettre en place une ou plusieurs nouvelles autorités ou s'appuyer sur des autorités existantes.

2. Lorsqu'un État membre désigne plus d'une autorité compétente, il désigne un coordinateur de données parmi celles-ci afin de faciliter la coopération entre les autorités compétentes et afin d'aider les entités relevant du champ d'application du présent règlement sur toutes les questions liées à son application et à son exécution. Les autorités compétentes coopèrent entre elles dans l'exercice des missions et pouvoirs qui leur sont conférés au titre du paragraphe 5.

3. Les autorités de contrôle chargées de surveiller l'application du règlement (UE) 2016/679 sont chargées de surveiller l'application du présent règlement en ce qui concerne la protection des données à caractère personnel. Les chapitres VI et VII du règlement (UE) 2016/679 s'appliquent mutatis mutandis.

Le Contrôleur européen de la protection des données est chargé de surveiller l'application du présent règlement dans la mesure où il concerne la Commission, la Banque centrale européenne ou des organes de l'Union. Le cas échéant, l'article 62 du règlement (UE) 2018/1725 s'applique mutatis mutandis.

Les autorités de contrôle visées au présent paragraphe exercent leurs missions et leurs pouvoirs à l'égard du traitement des données à caractère personnel.

4. Sans préjudice du paragraphe 1 du présent article:

a)	pour les questions spécifiques sur l'accès aux données sectorielles et leur utilisation en lien avec l'application du présent règlement, la compétence des autorités sectorielles est respectée;

b)	l'autorité compétente chargée de l'application et de l'exécution des articles 23 à 31 et des articles 34 et 35 dispose d'une expérience dans le domaine des données et des services de communications électroniques.

5. Les États membres veillent à ce que les missions et pouvoirs des autorités compétentes soient clairement définis et incluent:

a)	la promotion de l'éducation aux données et la sensibilisation des utilisateurs et des entités relevant du champ d'application du présent règlement aux droits et obligations découlant du présent règlement;

le traitement des réclamations découlant des infractions alléguées au présent règlement, y compris en lien avec des secrets d'affaires, l'examen de l'objet de la réclamation, dans la mesure nécessaire, et l'information à intervalles réguliers de l'auteur de la réclamation, le cas échéant conformément au droit national, sur l'état d'avancement et l'issue de l'enquête dans un délai raisonnable, notamment si un complément d'enquête ou une coordination avec une autre autorité compétente est nécessaire;

c)	la réalisation d'enquêtes sur des questions concernant l'application du présent règlement, y compris sur la base d'informations reçues d'une autre autorité compétente ou d'une autre autorité publique;

d)	l'imposition de sanctions financières effectives, proportionnées et dissuasives, pouvant comporter des astreintes et des sanctions avec effet rétroactif, ou l'engagement de procédures judiciaires en vue d'infliger des amendes;

e)	le suivi des évolutions technologiques et commerciales pertinentes pour la mise à disposition et l'utilisation des données;

la coopération avec les autorités compétentes d'autres États membres, et, le cas échéant, avec la Commission ou le comité européen de l'innovation dans le domaine des données, pour garantir l'application cohérente et efficace du présent règlement, y compris l'échange de toutes les informations pertinentes par voie électronique, sans retard injustifié, y compris en ce qui concerne le paragraphe 10 du présent article;

la coopération avec les autorités compétentes concernées chargées de la mise en œuvre d'autres actes juridiques de l'Union ou nationaux, y compris avec les autorités compétentes dans le domaine des données et des services de communications électroniques, avec l'autorité de contrôle chargée de surveiller l'application du règlement (UE) 2016/679 ou avec les autorités sectorielles afin de veiller à ce que le présent règlement soit appliqué de manière cohérente par rapport aux autres dispositions du droit de l'Union et du droit national;

la coopération avec les autorités compétentes concernées afin de veiller à ce que les articles 23 à 31 et les articles 34 et 35 soient exécutées de manière cohérente par rapport au droit de l'Union et aux mesures d'autoréglementation applicables aux fournisseurs de services de traitement de données;

i)	l'assurance que les frais de changement de fournisseur sont supprimés conformément à l'article 29;

j)	l'examen des demandes de données introduites en application du chapitre V.

Lorsqu'un coordinateur de données a été désigné, il facilite la coopération visée aux points f), g) et h) du premier alinéa et assiste les autorités compétentes à leur demande.

6. Lorsqu'une telle autorité compétente a été désignée, le coordinateur de données:

a)	fait office de point de contact unique pour toutes les questions liées à l'application du présent règlement;

veille à ce que soient mises à la disposition du public en ligne les demandes de mise à disposition des données présentées par des organismes du secteur public en cas de besoin exceptionnel au titre du chapitre V et encourage les accords de partage volontaire de données entre les organismes du secteur public et les détenteurs de données;

c)	informe annuellement la Commission des refus notifiés au titre de l'article 4, paragraphes 2 et 8, et de l'article 5, paragraphe 11.

7. Les États membres communiquent à la Commission le nom des autorités compétentes ainsi que leurs missions et pouvoirs et, le cas échéant, le nom du coordinateur de données. La Commission tient un registre public de ces autorités.

8. Lorsqu'elles accomplissent leurs missions et exercent leurs pouvoirs conformément au présent règlement, les autorités compétentes restent impartiales et libres de toute influence extérieure, qu'elle soit directe ou indirecte, et ne sollicitent ni n'acceptent, pour des cas individuels, d'instructions d'aucune autre autorité publique ni d'aucune entité privée.

9. Les États membres veillent à ce que les autorités compétentes disposent de ressources humaines et techniques suffisantes et de l'expertise adéquate pour s'acquitter efficacement de leurs missions conformément au présent règlement.

10. Les entités relevant du champ d'application du présent règlement sont soumises à la compétence de l'État membre dans lequel elles sont établies. Lorsque l'entité est établie dans plus d'un État membre, elle est considérée comme relevant de la compétence de l'État membre dans lequel se trouve son établissement principal, c'est-à-dire là où l'entité a son siège social ou son siège statutaire d'où sont exercés les principales fonctions financières et le contrôle opérationnel.

11. Toute entité relevant du champ d'application du présent règlement qui met des produits connectés à disposition ou propose des services connexes dans l'Union et qui n'est pas établie dans l'Union désigne un représentant légal dans l'un des États membres.

12. Aux fins de garantir le respect du présent règlement, un représentant légal est mandaté par une entité relevant du champ d'application du présent règlement qui met des produits connectés à disposition ou propose des services connexes dans l'Union pour être contacté, en plus de ladite entité ou à sa place, par les autorités compétentes en ce qui concerne toutes les questions liées à cette entité. Ce représentant légal coopère avec les autorités compétentes et leur démontre de manière exhaustive, sur demande, les mesures prises et les dispositions mises en place par l'entité relevant du champ d'application du présent règlement qui met des produits connectés à disposition ou propose des services connexes dans l'Union pour garantir le respect du présent règlement.

13. Une entité relevant du champ d'application du présent règlement qui met à disposition des produits connectés ou propose des services dans l'Union est considérée comme relevant de la compétence de l'État membre dans lequel se trouve son représentant légal. La désignation d'un représentant légal par une telle entité est sans préjudice de la responsabilité de cette entité et des actions en justice qui pourraient être intentées contre elle. Jusqu'à ce qu'une entité désigne un représentant légal conformément au présent article, elle relève de la compétence de tous les États membres, le cas échéant, aux fins de garantir l'application et l'exécution du présent règlement. Toute autorité compétente peut exercer sa compétence, y compris en imposant des sanctions effectives, proportionnées et dissuasives, pour autant que l'entité ne fasse pas l'objet d'une procédure d'exécution au titre du présent règlement portant sur les mêmes faits par une autre autorité compétente.

14. Les autorités compétentes sont habilitées à demander aux utilisateurs, aux détenteurs de données ou aux destinataires de données, ou à leurs représentants légaux, qui relèvent de la compétence de leur État membre toutes les informations nécessaires pour vérifier le respect du présent règlement. Toute demande d'information est proportionnée à l'accomplissement de la mission sous-jacente et est motivée.

15. Lorsqu'une autorité compétente dans un État membre sollicite l'assistance d'une autorité compétente d'un autre État membre ou l'application de mesures d'exécution par celle-ci, elle présente une demande motivée. Lorsqu'elle reçoit une telle demande, une autorité compétente fournit, sans retard injustifié, une réponse détaillant les mesures qui ont été prises ou qu'il est prévu de prendre.

16. Les autorités compétentes respectent les principes de confidentialité et de secret professionnel et commercial et protègent les données à caractère personnel conformément au droit de l'Union ou au droit national. Toutes les informations échangées dans le cadre d'une demande d'assistance et fournies en vertu du présent article ne sont utilisées qu'aux fins pour lesquelles elles ont été demandées.

Article 47

Modification du règlement (UE) 2017/2394

Dans l'annexe du règlement (UE) 2017/2394, le point suivant est ajouté:

"29.

Règlement (UE) 2023/2854 du Parlement européen et du Conseil du 13 décembre 2023 concernant des règles harmonisées portant sur l'équité de l'accès aux données et de l'utilisation des données et modifiant le règlement (UE) 2017/2394 et la directive (UE) 2020/1828 (règlement sur les données) (JO L, 2023/2854, 22.12.2023, ELI: http://data.europa.eu/eli/reg/2023/2854/oj).".

Article 48

Modification de la directive (UE) 2020/1828

Dans l'annexe I de la directive (UE) 2020/1828, le point suivant est ajouté:

"68.

Article 50

Entrée en vigueur et application

Le présent règlement entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l'Union européenne.

Il est applicable à partir du 12 septembre 2025.

L'obligation découlant de l'article 3, paragraphe 1, s'applique aux produits connectés et aux services connexes mis sur le marché après le 12 septembre 2026.

Le chapitre III s'applique en ce qui concerne les obligations de mise à disposition de données au titre du droit de l'Union ou de la législation nationale adoptée conformément au droit de l'Union, qui entre en vigueur après le 12 septembre 2025.

Le chapitre IV s'applique aux contrats conclus après le 12 septembre 2025.

Le chapitre IV s'applique à partir du 12 septembre 2027 aux contrats conclus le 12 septembre 2025 ou avant cette date, à condition:

a)	qu'ils soient à durée indéterminée; ou

b)	qu'ils viennent à échéance au moins dix ans à compter du 11 janvier 2024.

Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans tout État membre.

Fait à Strasbourg, le 13 décembre 2023.

Par le Parlement européen

La présidente

R. METSOLA

Par le Conseil

Le président

P. NAVARRO RÍOS

(1) JO C 402 du 19.10.2022, p. 5.

(2) JO C 365 du 23.9.2022, p. 18.

(3) JO C 375 du 30.9.2022, p. 112.

(4) Position du Parlement européen du 9 novembre 2023 (non encore parue au Journal officiel) et décision du Conseil du 27 novembre 2023.

(5) Recommandation 2003/361/CE de la Commission du 6 mai 2003 concernant la définition des micro, petites et moyennes entreprises (JO L 124 du 20.5.2003, p. 36).

(6) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1).

(7) Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions, organes et organismes de l'Union et à la libre circulation de ces données, et abrogeant le règlement (CE) no 45/2001 et la décision no 1247/2002/CE (JO L 295 du 21.11.2018, p. 39).

(8) Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (JO L 201 du 31.7.2002, p. 37).

(9) Directive 93/13/CEE du Conseil, du 5 avril 1993, concernant les clauses abusives dans les contrats conclus avec les consommateurs (JO L 95 du 21.4.1993, p. 29).

(10) Directive 2005/29/CE du Parlement européen et du Conseil du 11 mai 2005 relative aux pratiques commerciales déloyales des entreprises vis-à-vis des consommateurs dans le marché intérieur et modifiant la directive 84/450/CEE du Conseil et les directives 97/7/CE, 98/27/CE et 2002/65/CE du Parlement européen et du Conseil et le règlement (CE) no 2006/2004 du Parlement européen et du Conseil ("directive sur les pratiques commerciales déloyales") (JO L 149 du 11.6.2005, p. 22).

(11) Directive 2011/83/UE du Parlement européen et du Conseil du 25 octobre 2011 relative aux droits des consommateurs, modifiant la directive 93/13/CEE du Conseil et la directive 1999/44/CE du Parlement européen et du Conseil et abrogeant la directive 85/577/CEE du Conseil et la directive 97/7/CE du Parlement européen et du Conseil (JO L 304 du 22.11.2011, p. 64).

(12) Règlement (UE) 2021/784 du Parlement européen et du Conseil du 29 avril 2021 relatif à la lutte contre la diffusion des contenus à caractère terroriste en ligne (JO L 172 du 17.5.2021, p. 79).

(13) Règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/CE (règlement sur les services numériques) (JO L 277 du 27.10.2022, p. 1).

(14) Règlement (UE) 2023/1543 du Parlement européen et du Conseil du 12 juillet 2023 relatif aux injonctions européennes de production et aux injonctions européennes de conservation de preuves électroniques, dans les procédures pénales et aux fins de l'exécution de peines privatives de liberté prononcées à l'issue d'une procédure pénale (JO L 191 du 28.7.2023, p. 118).

(15) Directive (UE) 2023/1544 du Parlement européen et du Conseil du 12 juillet 2023 établissant des règles harmonisées concernant la désignation d'établissements désignés et de représentants légaux aux fins de la collecte de preuves électroniques en matière pénale (JO L 191 du 28.7.2023, p. 181).

(16) Règlement (UE) 2015/847 du Parlement européen et du Conseil du 20 mai 2015 sur les informations accompagnant les transferts de fonds et abrogeant le règlement (CE) n° 1781/2006 (JO L 141 du 5.6.2015, p. 1).

(17) Directive (UE) 2015/849 du Parlement Européen et du Conseil du 20 mai 2015 relative à la prévention de l'utilisation du système financier aux fins du blanchiment de capitaux ou du financement du terrorisme, modifiant le règlement (UE) n° 648/2012 du Parlement européen et du Conseil et abrogeant la directive 2005/60/CE du Parlement européen et du Conseil et la directive 2006/70/CE de la Commission (JO L 141 du 5.6.2015, p. 73).

(18) Directive (UE) 2019/882 du Parlement européen et du Conseil du 17 avril 2019 relative aux exigences en matière d'accessibilité applicables aux produits et services (JO L 151 du 7.6.2019, p. 70).

(19) Directive 2001/29/CE du Parlement européen et du Conseil du 22 mai 2001 sur l'harmonisation de certains aspects du droit d'auteur et des droits voisins dans la société de l'information (JO L 167 du 22.6.2001, p. 10).

(20) Directive 2004/48/CE du Parlement européen et du Conseil du 29 avril 2004 relative au respect des droits de propriété intellectuelle (JO L 157 du 30.4.2004, p. 45).

(21) Directive (UE) 2019/790 du Parlement européen et du Conseil du 17 avril 2019 sur le droit d'auteur et les droits voisins dans le marché unique numérique et modifiant les directives 96/9/CE et 2001/29/CE (JO L 130 du 17.5.2019, p. 92).

(22) Règlement (UE) 2022/868 du Parlement européen et du Conseil du 30 mai 2022 portant sur la gouvernance européenne des données et modifiant le règlement (UE) 2018/1724 (règlement sur la gouvernance des données) (JO L 152 du 3.6.2022, p. 1).

(23) Directive (UE) 2016/943 du Parlement européen et du Conseil du 8 juin 2016 sur la protection des savoir-faire et des informations commerciales non divulgués (secrets d'affaires) contre l'obtention, l'utilisation et la divulgation illicites (JO L 157 du 15.6.2016, p. 1).

(24) Directive 98/6/CE du Parlement européen et du Conseil du 16 février 1998 relative à la protection des consommateurs en matière d'indication des prix des produits offerts aux consommateurs (JO L 80 du 18.3.1998, p. 27).

(25) Directive 2000/31/CE du Parlement européen et du Conseil du 8 juin 2000 relative à certains aspects juridiques des services de la société de l'information, et notamment du commerce électronique, dans le marché intérieur ("directive sur le commerce électronique") (JO L 178 du 17.7.2000, p. 1).

(26) Règlement (UE) 2022/1925 du Parlement européen et du Conseil du 14 septembre 2022 relatif aux marchés contestables et équitables dans le secteur numérique et modifiant les directives (UE) 2019/1937 et (UE) 2020/1828 (règlement sur les marchés numériques) (JO L 265 du 12.10.2022, p. 1).

(27) Règlement (CE) no 223/2009 du Parlement européen et du Conseil du 11 mars 2009 relatif aux statistiques européennes et abrogeant le règlement (CE, Euratom) no 1101/2008 relatif à la transmission à l'Office statistique des Communautés européennes d'informations statistiques couvertes par le secret, le règlement (CE) no 322/97 du Conseil relatif à la statistique communautaire et la décision 89/382/CEE, Euratom du Conseil instituant un comité du programme statistique des Communautés européennes (JO L 87 du 31.3.2009, p. 164).

(28) Directive (UE) 2019/1024 du Parlement européen et du Conseil du 20 juin 2019 concernant les données ouvertes et la réutilisation des informations du secteur public (JO L 172 du 26.6.2019, p. 56).

(29) Directive 96/9/CE du Parlement européen et du Conseil du 11 mars 1996 concernant la protection juridique des bases de données (JO L 77 du 27.3.1996, p. 20).

(30) Règlement (UE) 2018/1807 du Parlement européen et du Conseil du 14 novembre 2018 établissant un cadre applicable au libre flux des données à caractère non personnel dans l'Union européenne (JO L 303 du 28.11.2018, p. 59).

(31) Directive (UE) 2019/770 du Parlement européen et du Conseil du 20 mai 2019 relative à certains aspects concernant les contrats de fourniture de contenus numériques et de services numériques (JO L 136 du 22.5.2019, p. 1).

(32) Règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) no 1060/2009, (UE) no 648/2012, (UE) no 600/2014, (UE) no 909/2014 et (UE) 2016/1011 (JO L 333 du 27.12.2022, p. 1).

(33) Règlement (UE) no 1025/2012 du Parlement européen et du Conseil du 25 octobre 2012 relatif à la normalisation européenne, modifiant les directives 89/686/CEE et 93/15/CEE du Conseil ainsi que les directives 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE et 2009/105/CE du Parlement européen et du Conseil et abrogeant la décision 87/95/CEE du Conseil et la décision no 1673/2006/CE du Parlement européen et du Conseil (JO L 316 du 14.11.2012, p. 12).

(34) Règlement (CE) no 765/2008 du Parlement européen et du Conseil du 9 juillet 2008 fixant les prescriptions relatives à l'accréditation et abrogeant le règlement (CEE) no 339/93 (JO L 218 du 13.8.2008, p. 30).

(35) Décision no 768/2008/CE du Parlement européen et du Conseil du 9 juillet 2008 relative à un cadre commun pour la commercialisation des produits et abrogeant la décision 93/465/CEE du Conseil (JO L 218 du 13.8.2008, p. 82).

(36) Règlement (UE) 2017/2394 du Parlement européen et du Conseil du 12 décembre 2017 sur la coopération entre les autorités nationales chargées de veiller à l'application de la législation en matière de protection des consommateurs et abrogeant le règlement (CE) no 2006/2004 (JO L 345 du 27.12.2017, p. 1).

(37) Directive (UE) 2020/1828 du Parlement européen et du Conseil du 25 novembre 2020 relative aux actions représentatives visant à protéger les intérêts collectifs des consommateurs et abrogeant la directive 2009/22/CE (JO L 409 du 4.12.2020, p. 1).

(38) JO L 123 du 12.5.2016, p. 1.

(39) Règlement (UE) no 182/2011 du Parlement européen et du Conseil du 16 février 2011 établissant les règles et principes généraux relatifs aux modalités de contrôle par les États membres de l'exercice des compétences d'exécution par la Commission (JO L 55 du 28.2.2011, p. 13).

ELI: http://data.europa.eu/eli/reg/2023/2854/oj

ISSN 1977-0693 (electronic edition)

whereas

keyboard_tab Data Act 2023/2854 FR

Data Act 2023/2854 FR