keyboard_tab Data Act 2023/2854 FR
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Article 4 Droits et obligations des utilisateurs et des détenteurs de données concernant l'accès aux données relatives au produit et aux données relatives au service connexe, leur utilisation et leur mise à disposition
- 1 Article 8 Conditions dans lesquelles les détenteurs de données mettent des données à la disposition des destinataires de données
- 2 Article 9 Compensation pour la mise à disposition de données
- 3 Article 13 Clauses contractuelles abusives imposées unilatéralement à une autre entreprise
- 1 Article 33 Exigences essentielles concernant l'interopérabilité des données, des mécanismes et des services de partage des données ainsi que des espaces européens communs de données
- 2 Article 35 Interopérabilité des services de traitement de données
- 1 Article 36 Exigences essentielles concernant les contrats intelligents pour l'exécution des accords de partage de données
- 1 Article 37 Autorités compétentes et coordinateurs de données
- 1 Article 38 Droit d'introduire une réclamation
CHAPITRE I
DISPOSITIONS GENERALES
CHAPITRE II
PARTAGE DE DONNEES ENTRE ENTREPRISES ET CONSOMMATEURS ET ENTRE ENTREPRISES
CHAPITRE III
OBLIGATIONS APPLICABLES AUX DETENTEURS DE DONNEES TENUS DE METTRE DES DONNEES A DISPOSITION EN VERTU DU DROIT DE L'UNION
CHAPITRE IV
CLAUSES CONTRACTUELLES ABUSIVES RELATIVES A L'ACCES AUX DONNEES ET A L'UTILISATION DES DONNEES ENTRE ENTREPRISES
CHAPITRE V
MISE A LA DISPOSITION D'ORGANISMES DU SECTEUR PUBLIC, DE LA COMMISSION, DE LA BANQUE CENTRALE EUROPEENNE ET D'ORGANES DE L'UNION DE DONNEES SUR LE FONDEMENT D'UN BESOIN EXCEPTIONNEL
CHAPITRE VI
CHANGEMENT DE SERVICES DE TRAITEMENT DE DONNEES
CHAPITRE VII
ACCES INTERNATIONAL ILLICITE AUX DONNEES A CARACTERE NON PERSONNEL ET TRANSFERT INTERNATIONAL ILLICITE DE CES DONNEES PAR LES AUTORITES PUBLIQUES
CHAPITRE VIII
INTEROPERABILITE
CHAPITRE IX
MISE EN ŒUVRE ET EXECUTION
CHAPITRE X
DROIT SUI GENERIS PREVU PAR LA DIRECTIVE 96/9/CE
CHAPITRE XI
DISPOSITIONS FINALES
- données 198
- dans 68
- présent 59
- pour 56
- paragraphe 51
- sont 48
- article 46
- règlement 38
- commission 36
- exigences 36
- exécution 34
- union 33
- détenteur 29
- disposition 29
- conformément 29
- partie 28
- avec 28
- droit 28
- utilisateur 28
- autorités 27
- clause 27
- application 27
- essentielles 26
- article 25
- contrat 25
- été 23
- services 23
- normes 23
- leur 23
- elle 22
- prévues 22
- demande 22
- les 21
- autorité 21
- unilatéralement 19
- autres 19
- interopérabilité 19
- autre 19
- compétentes 19
- accès 18
- actes 18
- mise 18
- compétente 18
- harmonisées 17
- peut 17
- échéant 17
- parties 16
- manière 16
- lorsqu 15
- traitement 15
Article 4
Droits et obligations des utilisateurs et des détenteurs de données concernant l'accès aux données relatives au produit et aux données relatives au service connexe, leur utilisation et leur mise à disposition
1. Lorsque l'utilisateur ne peut pas accéder directement à des données à partir du produit connecté ou du service connexe, les détenteurs de données rendent les données facilement accessibles, ainsi que les métadonnées pertinentes nécessaires à l'interprétation et à l'utilisation de ces données, accessibles à l'utilisateur sans retard injustifié, à un niveau de qualité identique à celui dont bénéficie le détenteur de données, de manière aisée, sécurisée, sans frais, dans un format complet, structuré, couramment utilisé et lisible par machine et, lorsque cela est pertinent et techniquement possible, en continu et en temps réel. À cet effet, une simple demande est envoyée par voie électronique lorsque cela est techniquement possible.
2. Les utilisateurs et les détenteurs de données peuvent contractuellement restreindre ou interdire l'accès aux données, leur utilisation ou leur partage ultérieur, si un tel traitement est susceptible de porter atteinte aux exigences de sécurité du produit connecté, telles qu'elles sont prévues par le droit de l'Union ou le droit national, entraînant de graves effets indésirables pour la santé, la sûreté ou la sécurité des personnes physiques. Les autorités sectorielles peuvent fournir aux utilisateurs et aux détenteurs de données une expertise technique dans ce contexte. Lorsque le détenteur de données refuse de partager des données en vertu du présent article, il adresse une notification à l'autorité compétente désignée conformément à l'article 37.
3. Sans préjudice du droit de l'utilisateur de demander réparation à tout moment devant une juridiction d'un État membre, l'utilisateur, dans le cadre de tout litige avec le détenteur de données concernant les restrictions ou interdictions contractuelles visées au paragraphe 2, peut:
| a) | introduire une réclamation auprès de l'autorité compétente conformément à l'article 37, paragraphe 5, point b); ou |
| b) | convenir avec le détenteur de données de porter la question devant un organe de règlement des litiges conformément à l'article 10, paragraphe 1. |
4. Les détenteurs de données ne rendent pas indûment difficile pour les utilisateurs le fait d'effectuer des choix ou d'exercer des droits prévus au présent article, y compris en offrant des choix à l'utilisateur d'une manière qui n'est pas neutre ou en réduisant ou en compromettant l'autonomie, la prise de décision ou le choix des utilisateurs au moyen de la structure, de la conception, de la fonction ou du mode de fonctionnement d'une interface numérique utilisateur ou d'une partie de celle-ci.
5. Afin de vérifier si une personne physique ou morale peut être considérée comme un utilisateur aux fins du paragraphe 1, un détenteur de données n'exige pas de ladite personne qu'elle fournisse d'autres informations que celles qui sont nécessaires. Les détenteurs de données ne conservent aucune autre information, en particulier aucune donnée de connexion, sur l'accès de l'utilisateur aux données demandées que celles qui sont nécessaires à la bonne exécution de la demande d'accès de l'utilisateur et à la sécurité et à la maintenance de l'infrastructure de données.
6. Les secrets d'affaires sont préservés et ne sont divulgués que lorsque le détenteur de données et l'utilisateur prennent toutes les mesures nécessaires avant la divulgation pour préserver leur confidentialité, en particulier en ce qui concerne les tiers. Le détenteur de données ou, s'il ne s'agit pas de la même personne, le détenteur de secrets d'affaires recense les données protégées en tant que secrets d'affaires, y compris dans les métadonnées pertinentes, et convient avec l'utilisateur de mesures techniques et organisationnelles proportionnées nécessaires afin de préserver la confidentialité des données partagées, en particulier en ce qui concerne les tiers, telles que des clauses contractuelles types, des accords de confidentialité, des protocoles d'accès stricts, des normes techniques et l'application de codes de conduite.
7. En l'absence d'accord sur les mesures nécessaires visées au paragraphe 6, ou si l'utilisateur ne met pas en œuvre les mesures convenues en vertu du paragraphe 6 ou compromet la confidentialité des secrets d'affaires, le détenteur de données peut bloquer ou, selon le cas, suspendre le partage des données définies comme secrets d'affaires. La décision du détenteur de données est dûment motivée et communiquée par écrit à l'utilisateur sans retard injustifié. Dans de tels cas, le détenteur de données notifie à l'autorité compétente désignée en vertu de l'article 37 qu'il a retenu ou suspendu le partage de données et indique les mesures qui n'ont pas été convenues ou mises en œuvre et, le cas échéant, les secrets d'affaires dont la confidentialité a été compromise.
8. Dans des circonstances exceptionnelles, lorsque le détenteur de données qui est un détenteur de secret d'affaires peut démontrer qu'il est très probable qu'il subisse un préjudice économique grave du fait de la divulgation de secrets d'affaires, malgré les mesures techniques et organisationnelles prises par l'utilisateur en vertu du paragraphe 6 du présent article, ce détenteur de données peut refuser au cas par cas une demande d'accès aux données spécifiques en question. Cette démonstration est dûment étayée sur la base d'éléments objectifs, en particulier l'opposabilité de la protection des secrets d'affaires dans les pays tiers, la nature et le niveau de confidentialité des données demandées, ainsi que le caractère unique et neuf du produit connecté, et est fournie par écrit à l'utilisateur sans retard injustifié. Lorsque le détenteur de données refuse de partager des données en vertu du présent paragraphe, il adresse une notification à l'autorité compétente désignée en vertu de l'article 37.
9. Sans préjudice du droit d'un utilisateur de demander réparation à tout moment devant une juridiction d'un État membre, un utilisateur souhaitant contester la décision d'un détenteur de données de refuser ou de bloquer ou suspendre le partage de données en vertu des paragraphes 7 et 8 peut:
| a) | introduire une réclamation auprès de l'autorité compétente conformément à l'article 37, paragraphe 5, point b), qui décide, sans retard injustifié, si et dans quelles conditions le partage des données doit commencer ou reprendre; ou |
| b) | convenir avec le détenteur de données de porter la question devant un organe de règlement des litiges conformément à l'article 10, paragraphe 1. |
10. L'utilisateur ne se sert pas des données obtenues en réponse à une demande visée au paragraphe 1 pour mettre au point un produit connecté concurrençant le produit connecté dont proviennent les données, ni ne partage les données avec un tiers dans cette intention, et il n'utilise pas ces données pour obtenir des informations sur la situation économique, les actifs ou les méthodes de production du fabricant ou, le cas échéant, du détenteur de données.
11. L'utilisateur s'abstient d'avoir recours à des moyens coercitifs ou de tirer avantage de lacunes dans l'infrastructure technique du détenteur de données qui est destinée à protéger les données pour obtenir l'accès aux données.
12. Lorsque l'utilisateur n'est pas la personne concernée dont les données à caractère personnel font l'objet de la demande, les données à caractère personnel générées par l'utilisation d'un produit connecté ou d'un service connexe ne sont mises à la disposition de l'utilisateur par le détenteur de données que s'il existe un fondement juridique valable pour le traitement au titre de l'article 6 du règlement (UE) 2016/679 et, le cas échéant, si les conditions énoncées à l'article 9 dudit règlement et à l'article 5, paragraphe 3, de la directive 2002/58/CE sont remplies.
13. Un détenteur de données n'utilise les données facilement accessibles qui sont des données à caractère non personnel que sur la base d'un contrat avec l'utilisateur. Un détenteur de données n'utilise pas ces données pour obtenir des informations sur la situation économique, les actifs ou les méthodes de production de l'utilisateur, ou sur l'utilisation qu'en fait ce dernier, d'une quelconque autre manière susceptible de porter atteinte à la position commerciale dudit utilisateur sur les marchés où celui-ci est actif.
14. Les détenteurs de données ne mettent pas à la disposition de tiers les données à caractère non personnel relatives aux produits à des fins commerciales ou non commerciales autres que l'exécution de leur contrat avec l'utilisateur. Le cas échéant, les détenteurs de données obligent contractuellement les tiers à ne pas partager les données reçues de leur part.
Article 8
Conditions dans lesquelles les détenteurs de données mettent des données à la disposition des destinataires de données
1. Lorsque, dans le cadre de relations entre entreprises, un détenteur de données est tenu de mettre des données à la disposition d'un destinataire de données au titre de l'article 5 ou au titre d'autres dispositions applicables du droit de l'Union ou de la législation nationale adoptée conformément au droit de l'Union, il convient des modalités de cette mise à disposition des données avec un destinataire de données, et ce selon des modalités et conditions équitables, raisonnables et non discriminatoires et de manière transparente, conformément au présent chapitre et au chapitre IV.
2. Une clause contractuelle concernant l'accès aux données et l'utilisation des données, ou la responsabilité et les voies de recours en cas de violation ou d'extinction des obligations relatives aux données, n'est pas contraignante si elle constitue une clause contractuelle abusive au sens de l'article 13 ou si, au détriment de l'utilisateur, elle exclut l'application des droits de l'utilisateur au titre du chapitre II, y déroge ou en modifie les effets.
3. Lorsqu'il met des données à disposition, un détenteur de données s'abstient de toute discrimination en ce qui concerne les modalités de mise à disposition des données entre des catégories comparables de destinataires de données, y compris les entreprises partenaires ou les entreprises liées du destinataire de données. Lorsqu'un destinataire de données considère que les conditions dans lesquelles des données ont été mises à sa disposition sont discriminatoires, le détenteur de données fournit, sans retard injustifié, au destinataire de données, sur demande motivée de celui-ci, des informations attestant l'absence de discrimination.
4. Un détenteur de données ne met pas de données à la disposition d'un destinataire de données, y compris sur une base d'exclusivité, sauf si l'utilisateur le demande au titre du chapitre II.
5. Les détenteurs de données et les destinataires de données ne sont pas tenus de fournir des informations autres que celles qui sont nécessaires pour vérifier le respect des clauses contractuelles convenues pour la mise à disposition des données ou des obligations qui leur incombent au titre du présent règlement ou d'autres dispositions applicables du droit de l'Union ou de la législation nationale adoptée conformément au droit de l'Union.
6. Sauf disposition contraire du droit de l'Union, y compris l'article 4, paragraphe 6, et l'article 5, paragraphe 9, du présent règlement, ou de la législation nationale adoptée conformément au droit de l'Union, l'obligation de mettre des données à la disposition d'un destinataire de données n'impose pas la divulgation de secrets d'affaires.
Article 9
Compensation pour la mise à disposition de données
1. Toute compensation convenue, dans le cadre de relations entre entreprises, entre un détenteur de données et un destinataire de données pour la mise à disposition des données est non discriminatoire et raisonnable et peut inclure une marge.
2. Lorsqu'ils s'accordent sur une compensation, le détenteur de données et le destinataire de données tiennent compte en particulier:
| a) | des coûts occasionnés par la mise à disposition des données, dont, notamment, les coûts encourus pour le formatage des données, leur diffusion par voie électronique et leur stockage; |
| b) | des investissements dans la collecte et la production de données, le cas échéant, en prenant en compte le fait que d'autres parties ont contribué ou non à l'obtention, à la production ou à la collecte des données en question. |
3. La compensation visée au paragraphe 1 peut également dépendre du volume, du format et de la nature des données.
4. Lorsque le destinataire de données est une PME ou un organisme de recherche à but non lucratif et que ce destinataire de données n'a pas d'entreprises partenaires ou d'entreprises liées qui ne sont pas considérées comme des PME, toute compensation convenue n'excède pas les coûts visés au paragraphe 2, point a).
5. La Commission adopte des lignes directrices sur le calcul de la compensation raisonnable, en tenant compte de l'avis du comité européen de l'innovation dans le domaine des données visé à l'article 42.
6. Le présent article ne fait pas obstacle à ce que d'autres dispositions du droit de l'Union ou de la législation nationale adoptée conformément au droit de l'Union excluent une éventuelle compensation pour la mise à disposition de données ou prévoient une compensation moins élevée.
7. Le détenteur de données fournit au destinataire de données des informations exposant la base de calcul de la compensation de manière suffisamment détaillée pour lui permettre d'évaluer si les exigences des paragraphes 1 à 4 sont respectées.
Article 13
Clauses contractuelles abusives imposées unilatéralement à une autre entreprise
1. Une clause contractuelle concernant l'accès aux données et l'utilisation des données ou la responsabilité et les voies de recours en cas de violation ou d'extinction d'obligations liées aux données qu'une entreprise a imposée unilatéralement à une autre entreprise ne lie pas cette dernière entreprise si elle est abusive.
2. Une clause contractuelle qui reflète des dispositions impératives du droit de l'Union ou des dispositions du droit de l'Union qui s'appliqueraient si les clauses contractuelles ne réglaient pas la question n'est pas considérée comme étant abusive.
3. Une clause contractuelle est abusive si elle est d'une nature telle que son utilisation s'écarte manifestement des bonnes pratiques commerciales en matière d'accès aux données et d'utilisation des données, contrairement à la bonne foi et à un usage loyal.
4. En particulier, aux fins du paragraphe 3, une clause contractuelle est abusive si elle a pour objet ou pour effet:
| a) | d'exclure ou de limiter la responsabilité de la partie qui a unilatéralement imposé la clause en cas d'actes intentionnels ou de négligence grave; |
| b) | d'exclure les voies de recours dont dispose la partie à laquelle la clause a été unilatéralement imposée en cas d'inexécution d'obligations contractuelles ou la responsabilité de la partie qui a unilatéralement imposé la clause en cas de manquement à ces obligations; |
| c) | de donner à la partie qui a unilatéralement imposé la clause le droit exclusif de déterminer si les données fournies sont conformes au contrat ou d'interpréter toute clause contractuelle. |
5. Aux fins du paragraphe 3, une clause contractuelle est présumée être abusive si elle a pour objet ou pour effet:
| a) | de limiter de manière inappropriée les voies de recours en cas d'inexécution des obligations contractuelles ou la responsabilité en cas de manquement à ces obligations, ou d'étendre la responsabilité de l'entreprise à laquelle la clause a été imposée unilatéralement; |
| b) | de permettre à la partie qui a imposé unilatéralement la clause d'avoir accès aux données de l'autre partie contractante et de les utiliser d'une manière qui porte gravement atteinte aux intérêts légitimes de l'autre partie contractante, en particulier lorsque ces données contiennent des données commercialement sensibles ou sont protégées par des secrets d'affaires ou des droits de propriété intellectuelle; |
| c) | d'empêcher la partie à laquelle la clause a été imposée unilatéralement d'utiliser les données qu'elle a fournies ou générées pendant la durée du contrat, ou de limiter l'utilisation de ces données dans la mesure où cette partie n'est pas autorisée à utiliser ou à enregistrer ces données, à y accéder ou à les contrôler ou à en exploiter la valeur de manière adéquate; |
| d) | d'empêcher la partie à laquelle la clause a été imposée unilatéralement de résilier l'accord dans un délai raisonnable; |
| e) | d'empêcher la partie à laquelle la clause a été imposée unilatéralement d'obtenir une copie des données qu'elle a fournies ou générées pendant la durée du contrat ou dans un délai raisonnable après la résiliation de celui-ci; |
| f) | de permettre à la partie qui a imposé unilatéralement la clause de résilier le contrat dans un délai excessivement court, compte tenu des possibilités dont l'autre partie contractante dispose raisonnablement pour se tourner vers un service alternatif et comparable et du préjudice financier causé par cette résiliation, sauf s'il existe des motifs sérieux de le faire; |
| g) | de permettre à la partie qui a imposé unilatéralement la clause de modifier substantiellement le prix indiqué dans le contrat ou toute autre condition de fond liée à la nature, au format, à la qualité ou à la quantité des données à partager, lorsqu'aucun motif valable ou aucun droit pour l'autre partie de résilier le contrat dans le cas d'une telle modification n’est stipulé dans le contrat. |
Le premier alinéa, point g), n'affecte pas les clauses par lesquelles la partie qui a imposé unilatéralement la clause en question se réserve le droit de modifier unilatéralement les clauses d'un contrat à durée indéterminée, pour autant que le contrat ait prévu une raison valable pour effectuer de telles modifications unilatéralement, que la partie qui a imposé unilatéralement la clause soit tenue d'informer l'autre partie contractante moyennant un préavis raisonnable de son intention d'effectuer une telle modification, et que l'autre partie contractante soit libre de résilier le contrat sans frais dans le cas d'une telle modification.
6. Une clause contractuelle est considérée comme étant imposée unilatéralement au sens du présent article si elle a été fournie par une partie contractante et si l'autre partie contractante n'a pas été en mesure d'influencer son contenu malgré une tentative de négociation. Il appartient à la partie contractante qui a fourni la clause contractuelle de prouver que cette clause n'a pas été imposée unilatéralement. La partie contractante qui a fourni la clause contractuelle faisant l'objet d'une contestation ne peut pas invoquer le caractère abusif de la clause contractuelle.
7. Lorsque la clause abusive est dissociable des autres clauses du contrat, ces dernières sont contraignantes.
8. Le présent article ne s'applique pas aux clauses contractuelles définissant l'objet principal du contrat ni à l'adéquation entre le prix et les données fournies en contrepartie.
9. Les parties à un contrat relevant du paragraphe 1 n'excluent pas l'application du présent article, n'y dérogent pas ou n'en modifient pas les effets.
CHAPITRE V
MISE A LA DISPOSITION D'ORGANISMES DU SECTEUR PUBLIC, DE LA COMMISSION, DE LA BANQUE CENTRALE EUROPEENNE ET D'ORGANES DE L'UNION DE DONNEES SUR LE FONDEMENT D'UN BESOIN EXCEPTIONNEL
Article 33
Exigences essentielles concernant l'interopérabilité des données, des mécanismes et des services de partage des données ainsi que des espaces européens communs de données
1. Les participants aux espaces de données qui proposent des données ou des services de données à d'autres participants respectent les exigences essentielles suivantes en vue de faciliter l'interopérabilité des données, des mécanismes et des services de partage de données, ainsi que des espaces européens communs des données qui sont des cadres interopérables de normes et de pratiques communes transsectoriels ou spécifiques à chaque finalité ou à chaque secteur visant à partager ou à traiter conjointement des données pour, entre autres, la mise au point de nouveaux produits et services, la recherche scientifique ou des initiatives de la société civile:
| a) | le contenu de l'ensemble de données, les restrictions d'utilisation, les licences, la méthode de collecte des données, la qualité des données et l'incertitude sur les données sont suffisamment décrits, le cas échéant, dans un format lisible par machine, pour permettre au destinataire de trouver les données, d'y accéder et de les utiliser; |
| b) | les structures de données, les formats de données, les vocabulaires, les systèmes de classification, les taxinomies et les listes de codes, le cas échéant, sont décrits de manière publiquement accessible et cohérente; |
| c) | les moyens techniques d'accès aux données, tels que les interfaces de programmation d'applications, ainsi que leurs conditions d'utilisation et leur qualité de service sont suffisamment décrits pour permettre l'accès automatique aux données et leur transmission automatique entre les parties, y compris en continu, en téléchargement de masse ou en temps réel dans un format lisible par machine, lorsque cela est techniquement possible et n'entrave pas le bon fonctionnement du produit connecté; |
| d) | le cas échéant, les moyens permettant l'interopérabilité des outils d'exécution automatique des accords de partage de données, tels que les contrats intelligents, sont prévus. |
Ces exigences peuvent être de nature générique ou concerner des secteurs spécifiques, tout en tenant pleinement compte de l'interdépendance avec les exigences découlant d'autres dispositions du droit de l'Union ou du droit national.
2. La Commission est habilitée à adopter des actes délégués conformément à l'article 45 du présent règlement afin de compléter le présent règlement en précisant davantage les exigences essentielles prévues au paragraphe 1 du présent article, en ce qui concerne les exigences qui, par leur nature, ne peuvent produire l'effet escompté que si elles sont précisées davantage dans des actes juridiques contraignants de l'Union, et afin de refléter correctement l'évolution des technologies et du marché.
Lorsqu'elle adopte des actes délégués, la Commission tient compte des avis du comité européen de l'innovation dans le domaine des données conformément à l'article 42, point c), iii).
3. Les participants aux espaces de données qui proposent des données ou des services de données à d'autres participants aux espaces de données qui satisfont aux normes harmonisées ou à des parties de normes harmonisées, dont les références sont publiées au Journal officiel de l'Union européenne, sont présumés être en conformité avec les exigences essentielles prévues au paragraphe 1, dans la mesure où ces exigences sont couvertes par de telles normes harmonisées ou des parties de ces normes.
4. En application de l'article 10 du règlement (UE) no 1025/2012, la Commission demande à une ou plusieurs organisations européennes de normalisation d'élaborer des normes harmonisées qui satisfont aux exigences essentielles prévues au paragraphe 1 du présent article.
5. La Commission peut, par voie d'actes d'exécution, adopter des spécifications communes couvrant l'une ou l'ensemble des exigences essentielles prévues au paragraphe 1 lorsque les conditions suivantes sont remplies:
| a) | la Commission a demandé, conformément à l'article 10, paragraphe 1, du règlement (UE) no 1025/2012, à une ou plusieurs organisations européennes de normalisation d'élaborer une norme harmonisée qui satisfait aux exigences essentielles prévues au paragraphe 1 du présent article et:
|
| b) | aucune référence à des normes harmonisées couvrant les exigences essentielles pertinentes prévues au paragraphe 1 du présent article n'est publiée au Journal officiel de l'Union européenne conformément au règlement (UE) no 1025/2012 et aucune référence de ce type ne devrait être publiée dans un délai raisonnable. |
Ces actes d'exécution sont adoptés en conformité avec la procédure d'examen visée à l'article 46, paragraphe 2.
6. Avant de préparer un projet d'acte d'exécution visé au paragraphe 5 du présent article, la Commission informe le comité visé à l'article 22 du règlement (UE) no 1025/2012 qu'elle estime que les conditions énoncées au paragraphe 5 du présent article ont été remplies.
7. Lorsqu'elle prépare le projet d'acte d'exécution visé au paragraphe 5, la Commission tient compte de l'avis du comité européen de l'innovation dans le domaine des données et du point de vue d'autres organismes ou groupes d'experts compétents et consulte dûment toutes les parties prenantes concernées.
8. Les participants aux espaces de données qui proposent des données ou des services de données aux autres participants aux espaces de données qui satisfont aux spécifications communes établies par des actes d'exécution visés au paragraphe 5 ou à des parties de celles-ci sont présumés être en conformité avec les exigences essentielles prévues au paragraphe 1 dans la mesure où ces exigences sont couvertes par de telles spécifications communes ou des parties de celles-ci.
9. Lorsqu'une norme harmonisée est adoptée par une organisation européenne de normalisation et proposée à la Commission en vue de la publication de sa référence au Journal officiel de l'Union européenne, la Commission évalue la norme harmonisée conformément au règlement (UE) no 1025/2012. Lorsque la référence d'une norme harmonisée est publiée au Journal officiel de l'Union européenne, la Commission abroge les actes d'exécution visés au paragraphe 5 du présent article, ou les parties de ces actes qui couvrent les mêmes exigences essentielles que celles couvertes par ladite norme harmonisée.
10. Lorsqu'un État membre estime qu'une spécification commune ne satisfait pas entièrement aux exigences essentielles prévues au paragraphe 1, il en informe la Commission en lui fournissant une explication détaillée. La Commission évalue cette explication détaillée et peut, le cas échéant, modifier l'acte d'exécution établissant la spécification commune en question.
11. La Commission peut adopter des lignes directrices en tenant compte de la proposition du comité européen de l'innovation dans le domaine des données conformément à l'article 30, point h), du règlement (UE) 2022/868 établissant des cadres interopérables pour les normes et pratiques communes pour le fonctionnement des espaces européens communs des données.
Article 35
Interopérabilité des services de traitement de données
1. Les spécifications d'interopérabilité ouvertes et les normes harmonisées pour l'interopérabilité des services de traitement de données:
| a) | réalisent, lorsque cela est techniquement possible, l'interopérabilité entre différents services de traitement de données couvrant le même type de service; |
| b) | améliorent la portabilité des actifs numériques entre différents services de traitement de données couvrant le même type de service; |
| c) | facilitent, lorsque cela est techniquement possible, l'équivalence fonctionnelle entre différents services de traitement de données visés à l'article 30, paragraphe 1, couvrant le même type de service; |
| d) | ne portent pas atteinte à la sécurité et à l'intégrité des services de traitement des données et des données; |
| e) | sont conçues de manière à permettre des avancées techniques et l'inclusion de nouvelles fonctions et innovations dans les services de traitement de données. |
2. Les spécifications d'interopérabilité ouvertes et les normes harmonisées pour l'interopérabilité des services de traitement de données couvrent de manière appropriée:
| a) | les aspects de l'interopérabilité de l'informatique en nuage qui concernent l'interopérabilité du transport, l'interopérabilité syntactique, l'interopérabilité sémantique des données, l'interopérabilité comportementale et l'interopérabilité du cadre normatif; |
| b) | les aspects de la portabilité des données en nuage pour la portabilité syntactique des données, la portabilité sémantique des données et la portabilité stratégique des données; |
| c) | les aspects applicatifs de l'informatique en nuage qui concernent la portabilité syntactique des applications, la portabilité des instructions des applications, la portabilité des métadonnées des applications, la portabilité comportementale des applications et la portabilité stratégique des applications. |
3. Les spécifications d'interopérabilité ouvertes sont conformes à l'annexe II du règlement (UE) no 1025/2012.
4. Après avoir tenu compte des normes internationales et européennes pertinentes ainsi que des initiatives d'autorégulation, la Commission peut, conformément à l'article 10, paragraphe 1, du règlement (UE) no 1025/2012, demander à une ou plusieurs organisations européennes de normalisation d'élaborer des normes harmonisées qui satisfont aux exigences essentielles prévues aux paragraphes 1 et 2 du présent article.
5. La Commission peut, par voie d'actes d'exécution, adopter des spécifications communes fondées sur des spécifications d'interopérabilité ouvertes couvrant toutes les exigences essentielles prévues aux paragraphes 1 et 2.
6. Lorsqu'elle prépare le projet d'acte d'exécution visé au paragraphe 5 du présent article, la Commission tient compte du point de vue des autorités compétentes visées à l'article 37, paragraphe 5, point h), et d'autres organismes ou groupes d'experts compétents et consulte dûment toutes les parties prenantes concernées.
7. Lorsqu'un État membre estime qu'une spécification commune ne satisfait pas entièrement aux exigences essentielles prévues aux paragraphes 1 et 2, il en informe la Commission en lui fournissant une explication détaillée. La Commission évalue cette explication détaillée et peut, le cas échéant, modifier l'acte d'exécution établissant la spécification commune en question.
8. Aux fins de l'article 30, paragraphe 3, la Commission publie, par voie d'actes d'exécution, les références des normes harmonisées et des spécifications communes pour l'interopérabilité des services de traitement de données dans un répertoire central des normes de l'Union pour l'interopérabilité des services de traitement de données.
9. Les actes d'exécution visés au présent article sont adoptés en conformité avec la procédure d'examen visée à l'article 46, paragraphe 2.
Article 36
Exigences essentielles concernant les contrats intelligents pour l'exécution des accords de partage de données
1. Le vendeur d'une application utilisant des contrats intelligents ou, à défaut, la personne dont l'activité commerciale, l'entreprise ou la profession nécessite le déploiement de contrats intelligents pour des tiers dans le cadre de l'exécution d'un accord ou d'une partie d'un accord de mise à disposition des données, veille à ce que ces contrats intelligents respectent les exigences essentielles suivantes:
| a) | robustesse et contrôle de l'accès, pour veiller à ce que le contrat intelligent ait été conçu de manière à offrir des mécanismes de contrôle d'accès et un degré très élevé de robustesse afin d'éviter des erreurs fonctionnelles et de résister aux tentatives de manipulation par des tiers; |
| b) | résiliation et interruption en toute sécurité, pour veiller à ce qu'il existe un mécanisme permettant de mettre fin à l'exécution continue des transactions et à ce que le contrat intelligent intègre des fonctions internes qui peuvent réinitialiser le contrat ou lui donner instruction de cesser ou d'interrompre l'opération, en particulier pour éviter de futures exécutions accidentelles; |
| c) | archivage et continuité des données, pour garantir, dans les circonstances dans lesquelles un contrat intelligent doit être résilié ou désactivé, qu'il y a la possibilité d'archiver les données relatives aux transactions, la logique et le code du contrat intelligent afin de conserver l'enregistrement des opérations effectuées sur les données dans le passé (vérifiabilité); |
| d) | contrôle de l'accès, pour garantir qu'un contrat intelligent est protégé par des mécanismes rigoureux de contrôle d'accès au niveau de la gouvernance et des contrats intelligents; et |
| e) | cohérence, pour assurer la cohérence avec les dispositions de l'accord de partage de données que le contrat intelligent exécute. |
2. Le vendeur d'un contrat intelligent ou, à défaut, la personne dont l'activité commerciale, l'entreprise ou la profession nécessite le déploiement de contrats intelligents pour des tiers dans le cadre de l'exécution d'un accord ou d'une partie d'un accord de mise à disposition des données, procède à une évaluation de la conformité en vue de satisfaire aux exigences essentielles prévues au paragraphe 1 et, en ce qui concerne le respect de ces exigences, délivre une déclaration UE de conformité.
3. Lorsqu'il établit la déclaration UE de conformité, le vendeur d'une application utilisant des contrats intelligents ou, à défaut, la personne dont l'activité commerciale, l'entreprise ou la profession nécessite le déploiement de contrats intelligents pour des tiers dans le cadre de l'exécution d'un accord ou d'une partie d'un accord de mise à disposition des données est responsable du respect des exigences essentielles prévues au paragraphe 1.
4. Un contrat intelligent qui satisfait aux normes harmonisées ou aux parties concernées de celles-ci et dont les références sont publiées au Journal officiel de l'Union européenne est présumé être en conformité avec les exigences essentielles prévues au paragraphe 1, dans la mesure où ces exigences sont couvertes par de telles normes harmonisées ou des parties de celles-ci.
5. Conformément à l'article 10 du règlement (UE) no 1025/2012, la Commission demande à une ou plusieurs organisations européennes de normalisation d'élaborer des normes harmonisées qui satisfont aux exigences essentielles prévues au paragraphe 1 du présent article.
6. La Commission peut, par voie d'actes d'exécution, adopter des spécifications communes couvrant l'une ou l'ensemble des exigences essentielles prévues au paragraphe 1 lorsque les conditions suivantes sont remplies:
| a) | la Commission a demandé, conformément à l'article 10, paragraphe 1, du règlement (UE) no 1025/2012, à une ou plusieurs organisations européennes de normalisation d'élaborer une norme harmonisée qui satisfait aux exigences essentielles prévues au paragraphe 1 du présent article et:
|
| b) | aucune référence à des normes harmonisées couvrant les exigences essentielles pertinentes prévues au paragraphe 1 du présent article n'est publiée au Journal officiel de l'Union européenne conformément au règlement (UE) no 1025/2012 et aucune référence de ce type ne devrait être publiée dans un délai raisonnable. |
Ces actes d'exécution sont adoptés en conformité avec la procédure d'examen visée à l'article 46, paragraphe 2.
7. Avant de préparer un projet d'acte d'exécution visé au paragraphe 6 du présent article, la Commission informe le comité visé à l'article 22 du règlement (UE) no 1025/2012 qu'elle estime que les conditions prévues au paragraphe 6 du présent article ont été remplies.
8. Lorsqu'elle prépare le projet d'acte d'exécution visé au paragraphe 6, la Commission tient compte de l'avis du comité européen de l'innovation dans le domaine des données et du point de vue d'autres organismes ou groupes d'experts compétents et consulte dûment toutes les parties prenantes concernées.
9. Le vendeur d'un contrat intelligent ou, à défaut, la personne dont l'activité commerciale, l'entreprise ou la profession nécessite le déploiement de contrats intelligents pour des tiers dans le cadre de l'exécution d'un accord ou d'une partie d'un accord de mise à disposition des données qui sont conformes aux spécifications communes établies par des actes d'exécution visés au paragraphe 6, ou à des parties de celles-ci, est présumé respecter les exigences essentielles prévues au paragraphe 1 dans la mesure où ces exigences sont couvertes par de telles spécifications communes ou par des parties de celles-ci.
10. Lorsqu'une norme harmonisée est adoptée par une organisation européenne de normalisation et proposée à la Commission en vue de la publication de sa référence au Journal officiel de l'Union européenne, la Commission évalue la norme harmonisée conformément au règlement (UE) no 1025/2012. Lorsque la référence d'une norme harmonisée est publiée au Journal officiel de l'Union européenne, la Commission abroge les actes d'exécution visés au paragraphe 6 du présent article, ou des parties de ces actes qui couvrent les mêmes exigences essentielles que celles qui sont couvertes par ladite norme harmonisée.
11. Lorsqu'un État membre estime qu'une spécification commune ne satisfait pas entièrement aux exigences essentielles prévues au paragraphe 1, il en informe la Commission en lui fournissant une explication détaillée. La Commission évalue ladite explication détaillée et peut, le cas échéant, modifier l'acte d'exécution établissant la spécification commune en question.
CHAPITRE IX
MISE EN ŒUVRE ET EXECUTION
Article 37
Autorités compétentes et coordinateurs de données
1. Chaque État membre désigne une ou plusieurs autorités compétentes chargées de l'application et de l'exécution du présent règlement (ci-après dénommées "autorités compétentes"). Les États membres peuvent mettre en place une ou plusieurs nouvelles autorités ou s'appuyer sur des autorités existantes.
2. Lorsqu'un État membre désigne plus d'une autorité compétente, il désigne un coordinateur de données parmi celles-ci afin de faciliter la coopération entre les autorités compétentes et afin d'aider les entités relevant du champ d'application du présent règlement sur toutes les questions liées à son application et à son exécution. Les autorités compétentes coopèrent entre elles dans l'exercice des missions et pouvoirs qui leur sont conférés au titre du paragraphe 5.
3. Les autorités de contrôle chargées de surveiller l'application du règlement (UE) 2016/679 sont chargées de surveiller l'application du présent règlement en ce qui concerne la protection des données à caractère personnel. Les chapitres VI et VII du règlement (UE) 2016/679 s'appliquent mutatis mutandis.
Le Contrôleur européen de la protection des données est chargé de surveiller l'application du présent règlement dans la mesure où il concerne la Commission, la Banque centrale européenne ou des organes de l'Union. Le cas échéant, l'article 62 du règlement (UE) 2018/1725 s'applique mutatis mutandis.
Les autorités de contrôle visées au présent paragraphe exercent leurs missions et leurs pouvoirs à l'égard du traitement des données à caractère personnel.
4. Sans préjudice du paragraphe 1 du présent article:
| a) | pour les questions spécifiques sur l'accès aux données sectorielles et leur utilisation en lien avec l'application du présent règlement, la compétence des autorités sectorielles est respectée; |
| b) | l'autorité compétente chargée de l'application et de l'exécution des articles 23 à 31 et des articles 34 et 35 dispose d'une expérience dans le domaine des données et des services de communications électroniques. |
5. Les États membres veillent à ce que les missions et pouvoirs des autorités compétentes soient clairement définis et incluent:
| a) | la promotion de l'éducation aux données et la sensibilisation des utilisateurs et des entités relevant du champ d'application du présent règlement aux droits et obligations découlant du présent règlement; |
| b) | le traitement des réclamations découlant des infractions alléguées au présent règlement, y compris en lien avec des secrets d'affaires, l'examen de l'objet de la réclamation, dans la mesure nécessaire, et l'information à intervalles réguliers de l'auteur de la réclamation, le cas échéant conformément au droit national, sur l'état d'avancement et l'issue de l'enquête dans un délai raisonnable, notamment si un complément d'enquête ou une coordination avec une autre autorité compétente est nécessaire; |
| c) | la réalisation d'enquêtes sur des questions concernant l'application du présent règlement, y compris sur la base d'informations reçues d'une autre autorité compétente ou d'une autre autorité publique; |
| d) | l'imposition de sanctions financières effectives, proportionnées et dissuasives, pouvant comporter des astreintes et des sanctions avec effet rétroactif, ou l'engagement de procédures judiciaires en vue d'infliger des amendes; |
| e) | le suivi des évolutions technologiques et commerciales pertinentes pour la mise à disposition et l'utilisation des données; |
| f) | la coopération avec les autorités compétentes d'autres États membres, et, le cas échéant, avec la Commission ou le comité européen de l'innovation dans le domaine des données, pour garantir l'application cohérente et efficace du présent règlement, y compris l'échange de toutes les informations pertinentes par voie électronique, sans retard injustifié, y compris en ce qui concerne le paragraphe 10 du présent article; |
| g) | la coopération avec les autorités compétentes concernées chargées de la mise en œuvre d'autres actes juridiques de l'Union ou nationaux, y compris avec les autorités compétentes dans le domaine des données et des services de communications électroniques, avec l'autorité de contrôle chargée de surveiller l'application du règlement (UE) 2016/679 ou avec les autorités sectorielles afin de veiller à ce que le présent règlement soit appliqué de manière cohérente par rapport aux autres dispositions du droit de l'Union et du droit national; |
| h) | la coopération avec les autorités compétentes concernées afin de veiller à ce que les articles 23 à 31 et les articles 34 et 35 soient exécutées de manière cohérente par rapport au droit de l'Union et aux mesures d'autoréglementation applicables aux fournisseurs de services de traitement de données; |
| i) | l'assurance que les frais de changement de fournisseur sont supprimés conformément à l'article 29; |
| j) | l'examen des demandes de données introduites en application du chapitre V. |
Lorsqu'un coordinateur de données a été désigné, il facilite la coopération visée aux points f), g) et h) du premier alinéa et assiste les autorités compétentes à leur demande.
6. Lorsqu'une telle autorité compétente a été désignée, le coordinateur de données:
| a) | fait office de point de contact unique pour toutes les questions liées à l'application du présent règlement; |
| b) | veille à ce que soient mises à la disposition du public en ligne les demandes de mise à disposition des données présentées par des organismes du secteur public en cas de besoin exceptionnel au titre du chapitre V et encourage les accords de partage volontaire de données entre les organismes du secteur public et les détenteurs de données; |
| c) | informe annuellement la Commission des refus notifiés au titre de l'article 4, paragraphes 2 et 8, et de l'article 5, paragraphe 11. |
7. Les États membres communiquent à la Commission le nom des autorités compétentes ainsi que leurs missions et pouvoirs et, le cas échéant, le nom du coordinateur de données. La Commission tient un registre public de ces autorités.
8. Lorsqu'elles accomplissent leurs missions et exercent leurs pouvoirs conformément au présent règlement, les autorités compétentes restent impartiales et libres de toute influence extérieure, qu'elle soit directe ou indirecte, et ne sollicitent ni n'acceptent, pour des cas individuels, d'instructions d'aucune autre autorité publique ni d'aucune entité privée.
9. Les États membres veillent à ce que les autorités compétentes disposent de ressources humaines et techniques suffisantes et de l'expertise adéquate pour s'acquitter efficacement de leurs missions conformément au présent règlement.
10. Les entités relevant du champ d'application du présent règlement sont soumises à la compétence de l'État membre dans lequel elles sont établies. Lorsque l'entité est établie dans plus d'un État membre, elle est considérée comme relevant de la compétence de l'État membre dans lequel se trouve son établissement principal, c'est-à-dire là où l'entité a son siège social ou son siège statutaire d'où sont exercés les principales fonctions financières et le contrôle opérationnel.
11. Toute entité relevant du champ d'application du présent règlement qui met des produits connectés à disposition ou propose des services connexes dans l'Union et qui n'est pas établie dans l'Union désigne un représentant légal dans l'un des États membres.
12. Aux fins de garantir le respect du présent règlement, un représentant légal est mandaté par une entité relevant du champ d'application du présent règlement qui met des produits connectés à disposition ou propose des services connexes dans l'Union pour être contacté, en plus de ladite entité ou à sa place, par les autorités compétentes en ce qui concerne toutes les questions liées à cette entité. Ce représentant légal coopère avec les autorités compétentes et leur démontre de manière exhaustive, sur demande, les mesures prises et les dispositions mises en place par l'entité relevant du champ d'application du présent règlement qui met des produits connectés à disposition ou propose des services connexes dans l'Union pour garantir le respect du présent règlement.
13. Une entité relevant du champ d'application du présent règlement qui met à disposition des produits connectés ou propose des services dans l'Union est considérée comme relevant de la compétence de l'État membre dans lequel se trouve son représentant légal. La désignation d'un représentant légal par une telle entité est sans préjudice de la responsabilité de cette entité et des actions en justice qui pourraient être intentées contre elle. Jusqu'à ce qu'une entité désigne un représentant légal conformément au présent article, elle relève de la compétence de tous les États membres, le cas échéant, aux fins de garantir l'application et l'exécution du présent règlement. Toute autorité compétente peut exercer sa compétence, y compris en imposant des sanctions effectives, proportionnées et dissuasives, pour autant que l'entité ne fasse pas l'objet d'une procédure d'exécution au titre du présent règlement portant sur les mêmes faits par une autre autorité compétente.
14. Les autorités compétentes sont habilitées à demander aux utilisateurs, aux détenteurs de données ou aux destinataires de données, ou à leurs représentants légaux, qui relèvent de la compétence de leur État membre toutes les informations nécessaires pour vérifier le respect du présent règlement. Toute demande d'information est proportionnée à l'accomplissement de la mission sous-jacente et est motivée.
15. Lorsqu'une autorité compétente dans un État membre sollicite l'assistance d'une autorité compétente d'un autre État membre ou l'application de mesures d'exécution par celle-ci, elle présente une demande motivée. Lorsqu'elle reçoit une telle demande, une autorité compétente fournit, sans retard injustifié, une réponse détaillant les mesures qui ont été prises ou qu'il est prévu de prendre.
16. Les autorités compétentes respectent les principes de confidentialité et de secret professionnel et commercial et protègent les données à caractère personnel conformément au droit de l'Union ou au droit national. Toutes les informations échangées dans le cadre d'une demande d'assistance et fournies en vertu du présent article ne sont utilisées qu'aux fins pour lesquelles elles ont été demandées.
Article 38
Droit d'introduire une réclamation
1. Sans préjudice de tout autre recours administratif ou juridictionnel, les personnes physiques et morales ont le droit d'introduire une réclamation, individuellement ou, le cas échéant, collectivement, auprès de l'autorité compétente concernée dans l'État membre dans lequel se trouve leur résidence habituelle, leur lieu de travail ou leur lieu d'établissement, si elles considèrent qu'il a été porté atteinte aux droits que leur confère le présent règlement. Le coordinateur de données fournit, sur demande, aux personnes physiques et morales toutes les informations nécessaires à l'introduction de leur réclamation auprès de l'autorité compétente concernée.
2. L'autorité compétente auprès de laquelle la réclamation a été introduite informe l'auteur de la réclamation, conformément au droit national, de l'état d'avancement de la procédure et de la décision prise.
3. Les autorités compétentes coopèrent pour gérer et traiter les réclamations de manière efficace et rapide, y compris en échangeant toutes les informations pertinentes par voie électronique, sans retard injustifié. Cette coopération n'affecte pas les mécanismes de coopération prévus aux chapitres VI et VII du règlement (UE) 2016/679 et ceux prévus par le règlement (UE) 2017/2394.
whereas