keyboard_tab Data Act 2023/2854 FR
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 3 Article 3 Obligation de rendre les données relatives aux produits et les données relatives aux services connexes accessibles à l'utilisateur
- 1 Article 9 Compensation pour la mise à disposition de données
- 1 Article 17 Demandes de mise à disposition de données
- 1 Article 32 Accès et transfert internationaux par les autorités publiques
CHAPITRE I
DISPOSITIONS GENERALES
CHAPITRE II
PARTAGE DE DONNEES ENTRE ENTREPRISES ET CONSOMMATEURS ET ENTRE ENTREPRISES
CHAPITRE III
OBLIGATIONS APPLICABLES AUX DETENTEURS DE DONNEES TENUS DE METTRE DES DONNEES A DISPOSITION EN VERTU DU DROIT DE L'UNION
CHAPITRE IV
CLAUSES CONTRACTUELLES ABUSIVES RELATIVES A L'ACCES AUX DONNEES ET A L'UTILISATION DES DONNEES ENTRE ENTREPRISES
CHAPITRE V
MISE A LA DISPOSITION D'ORGANISMES DU SECTEUR PUBLIC, DE LA COMMISSION, DE LA BANQUE CENTRALE EUROPEENNE ET D'ORGANES DE L'UNION DE DONNEES SUR LE FONDEMENT D'UN BESOIN EXCEPTIONNEL
CHAPITRE VI
CHANGEMENT DE SERVICES DE TRAITEMENT DE DONNEES
CHAPITRE VII
ACCES INTERNATIONAL ILLICITE AUX DONNEES A CARACTERE NON PERSONNEL ET TRANSFERT INTERNATIONAL ILLICITE DE CES DONNEES PAR LES AUTORITES PUBLIQUES
CHAPITRE VIII
INTEROPERABILITE
CHAPITRE IX
MISE EN ŒUVRE ET EXECUTION
CHAPITRE X
DROIT SUI GENERIS PREVU PAR LA DIRECTIVE 96/9/CE
CHAPITRE XI
DISPOSITIONS FINALES
- données 115
- détenteur 25
- union 21
- pour 21
- article 20
- tiers 20
- dans 20
- demande 19
- sont 18
- peut 16
- présent 15
- autorité 15
- organisme 15
- disposition 14
- public 14
- commission 13
- pays 13
- utilisateur 12
- secteur 12
- destinataire 12
- droit 12
- accès 12
- décision 12
- paragraphe 10
- avec 10
- demandées 10
- caractère 10
- personnel 9
- banque 9
- compensation 9
- services 9
- européenne 9
- potentiel 9
- centrale 9
- national 8
- cette 8
- relatives 8
- échéant 8
- conformément 8
- manière 8
- vertu 8
- être 7
- conditions 7
- jugement 7
- fournisseur 7
- nationale 7
- membre 7
- nécessaires 7
- mise 7
- traitement 7
Article 3
Obligation de rendre les données relatives aux produits et les données relatives aux services connexes accessibles à l'utilisateur
1. Les produits connectés sont conçus et fabriqués, et les services connexes conçus et fournis, de telle sorte que les données relatives auxdits produits et les données relatives aux services connexes, y compris les métadonnées pertinentes nécessaires à l'interprétation et à l'utilisation de ces données, sont, par défaut, accessibles à l'utilisateur, de manière aisée, sécurisée, sans frais, dans un format complet, structuré, couramment utilisé et lisible par machine, et sont, lorsque cela est pertinent et techniquement possible, directement accessibles à l'utilisateur.
2. Avant la conclusion d'un contrat d'achat, de location ou de crédit-bail relatif à un produit connecté, le vendeur, le loueur ou le bailleur, qui peut être le fabricant, communique à l'utilisateur, de manière claire et compréhensible, au moins les informations suivantes:
| a) | le type, le format et le volume estimé des données relatives au produit que le produit connecté est capable de générer; |
| b) | si le produit connecté est capable de générer des données en continu et en temps réel; |
| c) | si le produit connecté est capable de stocker des données sur un dispositif intégré ou sur un serveur distant, y compris, le cas échéant, la durée de conservation prévue; |
| d) | la manière dont l'utilisateur peut accéder aux données, extraire les données ou, le cas échéant, les effacer, y compris les moyens techniques nécessaires pour ce faire, ainsi que leurs conditions d'utilisation et leur qualité de service. |
3. Avant la conclusion d'un contrat relatif à la fourniture d'un service connexe, le fournisseur d'un tel service connexe communique à l'utilisateur, de manière claire et compréhensible, au moins les informations suivantes:
| a) | la nature, le volume estimé et la fréquence de collecte des données relatives au produit que le détenteur de données potentiel devrait obtenir et, le cas échéant, les modalités selon lesquelles l'utilisateur peut accéder à ces données ou les extraire, y compris les modalités de stockage des données du détenteur de données potentiel et la durée de conservation; |
| b) | la nature et le volume estimé des données relatives aux services connexes à générer, ainsi que les modalités selon lesquelles l'utilisateur peut avoir accès à ces données ou les extraire, y compris les modalités de stockage des données du détenteur de données potentiel et la durée de conservation; |
| c) | si le détenteur de données potentiel a l'intention d'utiliser lui-même des données facilement accessibles et les finalités pour lesquelles ces données sont utilisées, et s'il a l'intention d'autoriser un ou plusieurs tiers à utiliser les données pour des finalités convenues avec l'utilisateur; |
| d) | l'identité du détenteur de données potentiel, telle que sa raison sociale et l'adresse géographique à laquelle il est établi et, le cas échéant, des autres parties au traitement de données; |
| e) | les moyens de communication qui permettent de contacter rapidement le détenteur de données potentiel et de communiquer efficacement avec lui; |
| f) | la manière dont l'utilisateur peut demander à ce que les données soient partagées avec un tiers et, le cas échéant, mettre un terme au partage des données; |
| g) | le droit de l'utilisateur d'introduire une réclamation pour infraction aux dispositions du présent chapitre auprès de l'autorité compétente désignée en vertu de l'article 37; |
| h) | si un détenteur de données potentiel est le détenteur de secrets d'affaires contenus dans les données qui sont accessibles à partir du produit connecté ou générées au cours de la fourniture d'un service connexe, et, lorsque le détenteur de données potentiel n'est pas le détenteur de secrets d'affaires, l'identité du détenteur de secrets d'affaires; |
| i) | la durée du contrat entre l'utilisateur et le détenteur de données potentiel, ainsi que les modalités de résiliation de ce contrat. |
Article 9
Compensation pour la mise à disposition de données
1. Toute compensation convenue, dans le cadre de relations entre entreprises, entre un détenteur de données et un destinataire de données pour la mise à disposition des données est non discriminatoire et raisonnable et peut inclure une marge.
2. Lorsqu'ils s'accordent sur une compensation, le détenteur de données et le destinataire de données tiennent compte en particulier:
| a) | des coûts occasionnés par la mise à disposition des données, dont, notamment, les coûts encourus pour le formatage des données, leur diffusion par voie électronique et leur stockage; |
| b) | des investissements dans la collecte et la production de données, le cas échéant, en prenant en compte le fait que d'autres parties ont contribué ou non à l'obtention, à la production ou à la collecte des données en question. |
3. La compensation visée au paragraphe 1 peut également dépendre du volume, du format et de la nature des données.
4. Lorsque le destinataire de données est une PME ou un organisme de recherche à but non lucratif et que ce destinataire de données n'a pas d'entreprises partenaires ou d'entreprises liées qui ne sont pas considérées comme des PME, toute compensation convenue n'excède pas les coûts visés au paragraphe 2, point a).
5. La Commission adopte des lignes directrices sur le calcul de la compensation raisonnable, en tenant compte de l'avis du comité européen de l'innovation dans le domaine des données visé à l'article 42.
6. Le présent article ne fait pas obstacle à ce que d'autres dispositions du droit de l'Union ou de la législation nationale adoptée conformément au droit de l'Union excluent une éventuelle compensation pour la mise à disposition de données ou prévoient une compensation moins élevée.
7. Le détenteur de données fournit au destinataire de données des informations exposant la base de calcul de la compensation de manière suffisamment détaillée pour lui permettre d'évaluer si les exigences des paragraphes 1 à 4 sont respectées.
Article 17
Demandes de mise à disposition de données
1. Lorsqu'un organisme du secteur public, la Commission, la Banque centrale européenne ou un organe de l'Union demande des données en vertu de l'article 14, il ou elle:
| a) | précise les données qui sont demandées, y compris les métadonnées nécessaires à l'interprétation et à l'utilisation de ces données; |
| b) | démontre que les conditions nécessaires à l'existence d'un besoin exceptionnel conformément à l'article 15 pour lequel les données sont demandées sont remplies; |
| c) | explique la finalité de la demande, l'utilisation qu'il est prévu de faire des données demandées, y compris, le cas échéant, par un tiers conformément au paragraphe 4 du présent article, la durée de cette utilisation et, le cas échéant, la manière dont le traitement de données à caractère personnel doit répondre au besoin exceptionnel; |
| d) | précise, si possible, la date à laquelle les données sont censées être effacées par toutes les parties qui y ont accès; |
| e) | justifie le choix du détenteur de données auquel la demande est adressée; |
| f) | précise avec qui, parmi les autres organismes du secteur public, la Commission, la Banque centrale européenne ou les organes de l'Union ou les tiers, il est prévu de partager les données demandées; |
| g) | lorsque des données à caractère personnel sont demandées, précise les éventuelles mesures techniques et organisationnelles proportionnées et nécessaires pour mettre en œuvre les principes de protection des données et les garanties nécessaires, telles que la pseudonymisation, et si l'anonymisation peut être appliquée par le détenteur de données avant de mettre les données à disposition; |
| h) | indique la disposition juridique confiant à l'organisme du secteur public demandeur, à la Commission, à la Banque centrale européenne ou à l'organe de l'Union la mission spécifique exécutée dans l'intérêt public qui justifie la demande de données; |
| i) | précise le délai dans lequel les données doivent être mises à disposition et le délai visé à l'article 18, paragraphe 2, dans lequel le détenteur de données peut rejeter la demande ou demander sa modification; |
| j) | met tout en œuvre pour éviter qu'en donnant suite à la demande de données, les détenteurs de données n'engagent leur responsabilité pour infraction au droit de l'Union ou au droit national. |
2. Une demande de données présentée en vertu du paragraphe 1 du présent article:
| a) | est formulée par écrit et exprimée en termes clairs, concis et simples, compréhensibles pour le détenteur de données; |
| b) | est spécifique quant au type de données demandées et correspond aux données sur lesquelles le détenteur de données exerce un contrôle au moment de la demande; |
| c) | est proportionnée au besoin exceptionnel et dûment motivée, en ce qui concerne la granularité et le volume des données demandées, ainsi que la fréquence d'accès aux données demandées; |
| d) | respecte les objectifs légitimes du détenteur de données, en s'engageant à garantir la protection des secrets d'affaires conformément à l'article 19, paragraphe 3, ainsi qu'en tenant compte des coûts et des efforts nécessaires pour mettre les données à disposition; |
| e) | concerne des données à caractère non personnel et, uniquement s'il est démontré que cela est insuffisant pour répondre au besoin exceptionnel d'utiliser des données, conformément à l'article 15, paragraphe 1, point a), des données à caractère personnel sous une forme pseudonymisée et établit les mesures techniques et organisationnelles qui doivent être prises pour protéger les données; |
| f) | informe le détenteur de données des sanctions qui doivent être imposées au titre de l'article 40 par l'autorité compétente désignée en vertu de l'article 37 s'il n'est pas donné suite à la demande; |
| g) | lorsqu'elle est présentée par un organisme du secteur public, est transmise au coordinateur de données visé à l'article 37 de l'État membre dans lequel est établi l'organisme du secteur public demandeur, qui publie la demande en ligne sans retard injustifié, à moins que le coordinateur de données ne considère qu'une telle publication présenterait un risque pour la sécurité publique; |
| h) | lorsqu'elle est présentée par la Commission, la Banque centrale européenne ou un organe de l'Union, est mise à disposition en ligne sans retard injustifié; |
| i) | lorsque des données à caractère personnel sont demandées, est notifiée sans retard injustifié à l'autorité de contrôle chargée de surveiller l'application du règlement (UE) 2016/679 dans l'État membre dans lequel l'organisme du secteur public est établi. |
La Banque centrale européenne et les organes de l'Union informent la Commission de leurs demandes.
3. Un organisme du secteur public, la Commission, la Banque centrale européenne ou un organe de l'Union ne met pas les données obtenues au titre du présent chapitre à disposition en vue de leur réutilisation au sens de l'article 2, point 2), du règlement (UE) 2022/868 ou de l'article 2, point 11), de la directive (UE) 2019/1024. Le règlement (UE) 2022/868 et la directive (UE) 2019/1024 ne s'appliquent pas aux données détenues par des organismes du secteur public obtenues au titre du présent chapitre.
4. Le paragraphe 3 du présent article n'empêche pas un organisme du secteur public, la Commission, la Banque centrale européenne ou un organe de l'Union d'échanger des données obtenues en vertu du présent chapitre avec un autre organisme du secteur public, la Commission, la Banque centrale européenne ou un organe de l'Union en vue de l'accomplissement des tâches prévues à l'article 15, comme indiqué dans la demande conformément au paragraphe 1, point f), du présent article, ni de mettre les données à la disposition d'un tiers lorsqu'il ou elle a délégué, au moyen d'un accord accessible au public, des inspections techniques ou d'autres fonctions auprès de ce tiers. Les obligations incombant aux organismes du secteur public conformément à l'article 19, en particulier les garanties visant à préserver la confidentialité des secrets d'affaires, s'appliquent également à ces tiers. Lorsqu'un organisme du secteur public, la Commission, la Banque centrale européenne ou un organe de l'Union transmet ou met des données à disposition en vertu du présent paragraphe, il ou elle adresse une notification, sans retard injustifié, au détenteur de données auprès duquel les données ont été obtenues.
5. Lorsque le détenteur de données estime que ses droits au titre du présent chapitre ont été enfreints par la transmission ou la mise à disposition de données, il peut introduire une réclamation auprès de l'autorité compétente désignée en vertu de l'article 37 de l'État membre dans lequel le détenteur de données est établi.
6. La Commission élabore un modèle de demande conformément au présent article.
Article 32
Accès et transfert internationaux par les autorités publiques
1. Les fournisseurs de services de traitement de données prennent toutes les mesures techniques, organisationnelles et juridiques adéquates, y compris des contrats, afin d'empêcher l'accès international des autorités publiques et l'accès des autorités publiques des pays tiers aux données à caractère non personnel détenues dans l'Union et le transfert de ces données lorsque ce transfert ou cet accès risque d'être en conflit avec le droit de l'Union ou le droit national de l'État membre concerné, sans préjudice du paragraphe 2 ou 3.
2. Toute décision ou tout jugement d'une juridiction d'un pays tiers et toute décision d'une autorité administrative d'un pays tiers exigeant d'un fournisseur de services de traitement de données qu'il transfère des données à caractère non personnel relevant du champ d'application du présent règlement et détenues dans l'Union ou qu'il donne accès à ces données ne sont reconnus ou rendus exécutoires de quelque manière que ce soit que s’ils sont fondés sur un accord international, tel qu'un traité d'entraide judiciaire, en vigueur entre le pays tiers demandeur et l'Union, ou tout accord de ce type entre le pays tiers demandeur et un État membre.
3. En l'absence d'un accord international tel qu'il est visé au paragraphe 2, lorsqu'un fournisseur de services de traitement de données est destinataire d'une décision ou d'un jugement d'une juridiction d'un pays tiers ou d'une décision d'une autorité administrative d'un pays tiers imposant de transférer des données à caractère non personnel relevant du champ d'application du présent règlement et détenues dans l'Union ou d'y donner accès, et lorsque le respect d'une telle décision risquerait de mettre le destinataire en conflit avec le droit de l'Union ou avec le droit national de l'État membre concerné, le transfert de ces données vers cette autorité d'un pays tiers ou l'accès à ces données par cette même autorité n'a lieu que s'il est satisfait aux conditions suivantes:
| a) | le système du pays tiers exige que les motifs et la proportionnalité d'une telle décision ou d'un tel jugement soient exposés et que cette décision ou ce jugement revête un caractère spécifique, par exemple en établissant un lien suffisant avec certains suspects ou avec des infractions; |
| b) | l'objection motivée du destinataire fait l'objet d'un examen par une juridiction compétente du pays tiers; et |
| c) | la juridiction compétente d'un pays tiers qui rend la décision ou le jugement ou qui contrôle la décision d'une autorité administrative est habilitée, en vertu du droit de ce pays tiers, à prendre dûment en compte les intérêts juridiques concernés du fournisseur des données protégées par le droit de l'Union ou par le droit national de l'État membre concerné. |
Le destinataire de la décision ou du jugement peut solliciter l'avis de l'autorité nationale ou de l'organisme national concernés compétents pour la coopération internationale en matière juridique, afin de déterminer si les conditions prévues au premier alinéa sont remplies, notamment lorsqu'il estime que la décision peut concerner des secrets d'affaires et d'autres données commercialement sensibles ainsi que du contenu protégé par des droits de propriété intellectuelle, ou que le transfert peut donner lieu à une réidentification. L'autorité nationale ou l'organisme national concernés peut consulter la Commission. Si le destinataire estime que la décision ou le jugement est susceptible de porter atteinte aux intérêts de l'Union ou de ses États membres en matière de sécurité nationale ou de défense, il demande l'avis de l'autorité nationale ou de l'organisme national concernés afin de déterminer si les données demandées concernent les intérêts de l'Union ou de ses États membres en matière de sécurité nationale ou de défense. Si le destinataire n'a pas reçu de réponse dans un délai d'un mois, ou si cette autorité ou cet organisme conclut dans son avis que les conditions prévues au premier alinéa ne sont pas remplies, le destinataire peut, pour ces motifs, rejeter la demande de transfert de données à caractère non personnel ou d'accès à de telles données.
Le comité européen de l'innovation dans le domaine des données visé à l'article 42 conseille et assiste la Commission dans l'élaboration de lignes directrices relatives à l'évaluation du respect des conditions prévues au premier alinéa du présent paragraphe.
4. Si les conditions énoncées au paragraphe 2 ou 3 sont remplies, le fournisseur de services de traitement de données fournit le volume minimal de données admissible en réponse à une demande, sur la base de l'interprétation que peut raisonnablement donner de cette demande le fournisseur ou l'autorité nationale ou l'organisme national concernés visés au paragraphe 3, deuxième alinéa.
5. Le fournisseur de services de traitement de données informe le client de l'existence d'une demande d'accès à des données le concernant qui émane d'une autorité d'un pays tiers avant de donner suite à cette demande, sauf lorsque cette demande sert des fins répressives et aussi longtemps que cela est nécessaire pour préserver l'efficacité de l'action répressive.
CHAPITRE VIII
INTEROPERABILITE
whereas