Amendements du Parlement européen, adoptés le14 mars 2023, à la proposition de règlement du Parlement européen et du Conseil fixant des règles harmonisées pour l’équité de l’accès aux données et de l’utilisation des données (règlement sur les données) (COM(2022)0068 – C9-0051/2022 – 2022/0047(COD))(1)
La question a été renvoyée à la commission compétente, aux fins de négociations interinstitutionnelles, conformément à l’article 59, paragraphe 4, quatrième alinéa, du règlement intérieur (A9‑0031/2023).
* Amendements: le texte nouveau ou modifié est signalé par des italiques gras; les suppressions sont signalées par le symbole ▌.
Proposition de RÈGLEMENT DU PARLEMENT EUROPÉEN ET DU CONSEIL fixant des règles harmonisées pour l’équité de l’accès aux données et de l’utilisation des données (règlement sur les données)
(Texte présentant de l’intérêt pour l’EEE)
LE PARLEMENT EUROPÉEN ET LE CONSEIL DE L’UNION EUROPÉENNE,
vu le traité sur le fonctionnement de l’Union européenne, et notamment son article 114,
vu la proposition de la Commission européenne,
après transmission du projet d’acte législatif aux parlements nationaux,
vu l’avis du Comité économique et social européen(1),
statuant conformément à la procédure législative ordinaire,
considérant ce qui suit:
(1) Ces dernières années, les technologies fondées sur les données ont eu des effets transformateurs sur tous les secteurs de l’économie. La multiplication rapide des produits connectés à l’internet ▌, en particulier, a fait augmenter le volume de données et leur valeur potentielle pour les consommateurs, les entreprises et la société. Des données de qualité et interopérables provenant de différents domaines permettent d’accroître la compétitivité et l’innovation et de garantir une croissance économique pérenne. Un même ensemble de données est susceptible d’être utilisé et réutilisé à diverses fins et de façon illimitée, sans perdre en qualité ni en quantité.
(2) Étant donné que l’Union occupe une position concurrentielle à l’échelle mondiale en matière de fabrication et une place prépondérante concernant les logiciels industriels et la robotique, les obstacles au partage de données empêchent que ces données ne soient réparties de façon optimale dans l’intérêt de la société. Parmi ces obstacles figurent l’absence de mesures incitant les détenteurs de données à conclure volontairement des accords de partage de données, l’incertitude quant aux droits et obligations en matière de données, la valeur économique des ensembles de données, le coût afférent à l’engagement d’un contractant chargé de mettre en œuvre les interfaces techniques, l’importante fragmentation des informations stockées en silos, une mauvaise gestion des métadonnées, l’absence de normes régissant l’interopérabilité sémantique et technique, les goulets d’étranglement qui entravent l’accès aux données, l’absence de pratiques communes de partage de données et l’exploitation abusive de déséquilibres contractuels en ce qui concerne l’accès aux données et leur utilisation.
(3) Dans les secteurs qui comptent des micro, petites et moyennes entreprises (PME), on constate souvent l’absence de capacités et de compétences numériques pour collecter, analyser et utiliser des données; l’accès à celles-ci est fréquemment restreint soit parce qu’elles sont détenues par un seul acteur au sein du système soit parce que toute interopérabilité fait défaut entre les données ou entre les services de données ou encore au-delà des frontières.
(4) Afin de répondre aux besoins de l’économie numérique, d’éviter la fragmentation du marché intérieur susceptible de découler d’une législation nationale et d’éliminer les obstacles au bon fonctionnement du marché intérieur des données, il est nécessaire d’établir un cadre harmonisé qui précise qui est en droit d’utiliser les données accessibles collectées, obtenues ou générées d’une autre manière par les produits connectés ou les services connexes, dans quelles conditions et sur quel fondement. En conséquence, les États membres ne devraient pas adopter ou maintenir des exigences nationales supplémentaires pour les questions relevant du champ d’application du présent règlement, sauf disposition expresse de ce dernier, parce que cela porterait atteinte à l’application directe et uniforme du présent règlement.
(5) Le présent règlement oblige les fabricants de produits connectés et les fournisseurs de services connexes à concevoir leurs produits et services de manière à ce que les utilisateurs d’un produit connecté ou d’un service connexe dans l’Union puissent avoir accès, en temps utile, aux données accessibles depuis le produit ou générées lors de la fourniture d’un service connexe et que ces utilisateurs puissent se servir de ces données, y compris en les partageant avec des tiers de leur choix. Le présent règlement impose aux détenteurs de données de mettre des données ▌à la disposition des utilisateurs et des destinataires de données désignés par ces utilisateurs. Il prévoit également que les détenteurs de données mettent des données à la disposition des destinataires de données dans l’Union dans des conditions équitables, raisonnables et non discriminatoires ainsi que de manière transparente. Les règles de droit privé sont essentielles dans le cadre général du partage de données. En conséquence, le présent règlement adapte les règles du droit des contrats et empêche que ne soient exploités les déséquilibres contractuels qui entravent l’accès équitable aux données et leur utilisation équitable ▌. Le présent règlement prévoit également qu’en cas de besoin exceptionnel, les détenteurs de données mettent les données à la disposition des organismes du secteur public des États membres et à celle des institutions, organes et organismes de l’Union ▌. Le présent règlement vise en outre à faciliter le passage d’un service de traitement des données à un autre et à améliorer l’interopérabilité des données ainsi que des mécanismes et services de partage de données dans l’Union. Il conviendrait de ne pas interpréter le présent règlement comme reconnaissant ou créant une base juridique permettant aux détenteurs de données ▌de détenir des données, d’y avoir accès ou d’en effectuer le traitement ou comme lui conférant un droit nouveau d’utiliser les données auxquelles il a eu accès depuis un produit connecté ou générées lors de la fourniture d’un service connexe. Le présent règlement reconnaît plutôt que les utilisateurs peuvent consentir à accorder des autorisations d’accès et d’utilisation relatives aux données auxquelles l’accès a été obtenu depuis des produits connectés ou générées lors de la fourniture de services connexes à des détenteurs de données pouvant souvent être des fabricants, et qui peuvent convenir par contrat avec l’utilisateur de fournir un ou plusieurs services connexes.
(6) La production de données dépend de la conception du produit connecté par le fabricant, notamment de l’inclusion de capteurs et de logiciels de traitement dans l’appareil, des actions de l’utilisateur et, selon les modalités de fonctionnement, de la fourniture d’un ou de plusieurs services connexes. De nombreux produits connectés, par exemple dans les secteurs des infrastructures civiles, de la production d’énergie ou des transports, enregistrent des données sur leur environnement ou leur interaction avec d’autres éléments de ces infrastructures sans nécessiter aucune action de la part de l’utilisateur ou d’un tiers. Ces données sont souvent à caractère non personnel et précieuses pour l’utilisateur ou des tiers, qui peuvent les utiliser dans le but d’améliorer leurs opérations et le fonctionnement global d’un réseau ou d’un système ou en les mettant à la disposition d’autres parties. La génération de données soulève des questions d’équité dans l’économie numérique parce que les données auxquelles l’accès a été obtenu depuis des produits connectés ou qui ont été générées lors de la fourniture de services connexes constituent un apport important pour les services après-vente, les services auxiliaires et autres. Afin de concrétiser les avantages économiques considérables que les données ▌ présentent pour l’économie et la société, une approche générale de l’attribution des droits d’accès et d’utilisation en matière de données est préférable à l’octroi de droits exclusifs d’accès et d’utilisation. Cependant, il est également important que le partage de données sur la base d’accords volontaires continue à se développer afin d’encourager la croissance de la valeur des entreprises européennes basée sur les données.
(7) Le droit fondamental à la protection des données à caractère personnel est garanti notamment par les règlements (UE) 2016/679(3) et ▌(UE) 2018/1725(4)du Parlement européen et du Conseil. La directive 2002/58/CE du Parlement européen et du Conseil(5) protège, quant à elle, la vie privée et la confidentialité des communications en prévoyant notamment des conditions régissant tout stockage de données à caractère personnel et de données à caractère non personnel dans un équipement terminal et l’accès aux unes et aux autres à partir dudit équipement. Ces instruments servent de base à un traitement pérenne et responsable des données, y compris lorsque les ensembles de données contiennent un mélange de données à caractère personnel et de données à caractère non personnel. Le présent règlement complète, sans y porter atteinte, les dispositions de droit de l’Union relatives à la protection des données et à la vie privée, en particulier le règlement (UE) 2016/679 et la directive 2002/58/CE. Aucune disposition du présent règlement ne devrait être appliquée ou interprétée de manière à réduire ou à limiter le droit à la protection des données à caractère personnel ou le droit à la vie privée et à la confidentialité des communications. Le présent règlement ne devrait pas être entendu comme créant une nouvelle base juridique pour le traitement des données à caractère personnel dans le cadre de l’une des activités réglementées, ni comme modifiant les exigences en matière d’information prévues par le règlement (UE) 2016/679. En cas de conflit entre le présent règlement et le droit de l’Union en matière de protection des données à caractère personnel ou le droit national adopté conformément audit droit de l’Union, le droit de l’Union ou le droit national applicable relatif à la protection des données à caractère personnel devrait prévaloir.
(8) Les principes de la minimisation des données ainsi que de la protection des données dès la conception et de la protection des données par défaut sont essentiels lorsque le traitement comporte des risques importants pour les droits fondamentaux des personnes. Compte tenu de l’état des connaissances, toutes les parties au partage de données, y compris lorsque ce partage relève du champ d’application du présent règlement, devraient mettre en œuvre des mesures techniques et organisationnelles pour protéger ces droits. Des mesures de ce type incluent non seulement la pseudonymisation et le cryptage mais aussi le recours à des technologies de plus en plus disponibles qui permettent d’appliquer des algorithmes aux données et d’obtenir des informations précieuses sans transmission de ces données entre les parties ni copie inutile des données brutes ou des données structurées elles-mêmes.
(9) Le présent règlement complète, sans y porter atteinte, le droit de l’Union visant à promouvoir les intérêts des consommateurs et à assurer un niveau élevé de protection de ces derniers, à protéger leur santé, leur sécurité et leurs intérêts économiques, en particulier la directive 2005/29/CE du Parlement européen et du Conseil(6), la directive 2011/83/UE du Parlement européen et du Conseil(7) et la directive 93/13/CEE du Parlement européen et du Conseil(8).
(10) Le présent règlement est sans préjudice des actes juridiques de l’Union qui prévoient le partage de données, l’accès à ces dernières et leur utilisation à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, ou à des fins douanières et fiscales, quelle que soit la base juridique prévue par le traité sur le fonctionnement de l’Union européenne sur laquelle ces actes ont été adoptés. Il s’agit notamment du règlement (UE) 2021/784 du Parlement européen et du Conseil du 29 avril 2021 relatif à la lutte contre la diffusion de contenus à caractère terroriste en ligne, des propositions sur les preuves électroniques [COM(2018) 225 et 226] une fois qu’elles auront été adoptées, du [de la proposition de] règlement du Parlement européen et du Conseil relatif à un marché intérieur des services numériques (Législation sur les services numériques) et modifiant la directive 2000/31/CE, ainsi que de la coopération internationale dans ce domaine fondée, en particulier, sur la convention de 2001 du Conseil de l’Europe sur la cybercriminalité («convention de Budapest»). Le présent règlement est sans préjudice des compétences des États membres en ce qui concerne les activités relatives à la sécurité publique, à la défense et à la sécurité nationale conformément au droit de l’Union, et les activités des autorités douanières relatives à la gestion des risques et, en général, à la vérification du respect du code des douanes par les opérateurs économiques.
(11) Le présent règlement ne devrait pas avoir d’incidence, au-delà des obligations de son article 3, paragraphe 1, sur les dispositions de droit de l’Union qui fixent des exigences en matière de conception physique et de données que les produits doivent remplir pour pouvoir être mis sur le marché de l’Union.
(12) Le présent règlement complète, sans y porter atteinte, les dispositions de droit de l’Union qui visent à définir les exigences en matière d’accessibilité applicables à certains produits et services, en particulier la directive (UE) 2019/882(9).
(13) Le présent règlement est sans préjudice des compétences des États membres en ce qui concerne les activités relatives à la sécurité publique, à la défense et à la sécurité nationale conformément au droit de l’Union, et les activités des autorités douanières relatives à la gestion des risques et, en général, à la vérification du respect du code des douanes par les opérateurs économiques.
(13 bis) Le présent règlement vise aussi à renforcer la position ainsi que les modèles commerciaux des tiers, par exemple des fournisseurs, par une approche horizontale. Pour tenir compte de la situation particulière et de la complexité des différents secteurs, le présent règlement devra être suivi d’actes législatifs sectoriels, par exemple sur l’espace des données relatives à la mobilité. Ces actes pourront établir des règles supplémentaires relatives au droit des fournisseurs d’obtenir un meilleur accès ou un accès direct aux données de leurs propres composants intelligents pour des questions telles que le suivi de la qualité, la mise au point de produits ou l’amélioration de la sécurité et clarifier le rôle des fournisseurs de composants par rapport aux produits connectés.
(13 ter) Le présent règlement n’a pas d’incidence sur les actes juridiques de l’Union et nationaux prévoyant la protection des droits de propriété intellectuelle, notamment les directives 2001/29/CE(10), 2004/48/CE(11) et (UE) 2019/790(12) du Parlement européen et du Conseil.
(14) Les produits physiques qui, au moyen de leurs composants, obtiennent, génèrent ou recueillent des données concernant leur performance, leur utilisation ou leur environnement et qui sont en mesure de communiquer ces données par l’intermédiaire d’un service de communications électroniques, d’une connexion physique ou sur un appareil (souvent appelé «l’internet des objets») devraient relever du présent règlement, à l’exception des prototypes. Les services de communications électroniques comprennent les réseaux téléphoniques terrestres, les réseaux câblés de télévision, les réseaux par satellite et les réseaux de communication en champ proche. De tels produits connectés sont présents dans tous les domaines de l’économie et de la société, notamment dans les infrastructures privées, civiles ou commerciales, les véhicules, les navires, les avions, les équipements domestiques et les biens de consommation, les dispositifs médicaux et sanitaires, ou encore les machines agricoles et industrielles ou les installations de production et de transport d’énergie. Les données obtenues, générées ou recueillies par un produit connecté qui est accessible à tout détenteur ou destinataire de données devraient toujours être accessibles au propriétaire du produit, ou à un tiers auquel le propriétaire du produit a transféré certains droits sur le produit sur la base d’un contrat de location. Le propriétaire ou ce tiers est désigné comme l’utilisateur aux fins du présent règlement. Ces droits d’accès ne modifient en aucun cas les droits fondamentaux des personnes concernées, qui peuvent interagir avec le produit connecté, ni n’interfèrent avec ces droits sur les données à caractère personnel générées par le produit. Les choix de conception des fabricants, les exigences des utilisateurs et, le cas échéant, la législation sectorielle visant à répondre aux besoins et objectifs sectoriels, ou les décisions relatives aux ententes et abus de position dominante, devraient déterminer quelles données un produit connecté est capable de rendre accessibles à tout détenteur ou destinataire de données au point de vente. Le présent règlement s’applique aux produits mis sur le marché au sein de l’Union et ne s’applique donc pas aux produits en phase de développement tels que les prototypes.
(15) À l’inverse, des contenus ou des données, obtenus ou générés, ou auxquels l’accès a été obtenu à partir du produit connecté ou qui lui sont transmis en vue de leur conservation ou de leur traitement pour le compte de tiers, comme dans le cas de serveurs ou d’une infrastructure en nuage, entre autres à des fins d’utilisation par un service en ligne, ne devraient pas relever du présent règlement.
(16) Il est également nécessaire d’établir des règles applicables aux services connexes qui sont intégrés ou sont interconnectés avec un produit connecté de telle sorte que l’absence du service empêcherait le produit d’exécuter une ou plusieurs de ses fonctions, et qui impliquent le transfert de données entre le produit connecté et le fournisseur des services connexes. Lorsqu’un fournisseur d’un service connexe accède à des données provenant d’un produit connecté ou a accès à des données générées pendant la fourniture du service connexe et a le droit d’utiliser des données à caractère non personnel, conformément à l’article 4, paragraphe 6, il devrait être considéré comme détenteur de données pour les données auxquelles il a eu accès à partir du produit ou générées au cours de la fourniture du service connexe. Ces services connexes peuvent faire partie de la vente. Ces services connexes peuvent eux-mêmes générer des données de valeur pour l’utilisateur indépendamment des capacités de collecte de données du produit connecté avec lequel ils sont interconnectés. Ces données peuvent représenter la numérisation des actions de l’utilisateur et des événements concernant l’utilisation que ce dernier fait du produit, et devraient, dès lors, être accessibles à l’utilisateur. De telles données sont potentiellement précieuses pour l’utilisateur et favorisent l’innovation et le développement de services numériques et d’autres services protégeant l’environnement, la santé et l’économie circulaire, notamment en facilitant l’entretien et la réparation des produits en question, ou le développement de produits ou de services. Les informations obtenues ou déduites par un détenteur de données ou un destinataire de données à partir de données à caractère non personnel auxquelles il a eu accès depuis le produit connecté, autres que les données générées lors de la fourniture d’un service connexe, ne devraient pas être considérées comme relevant du champ d’application du présent règlement. Le présent règlement devrait également s’appliquer à un service connexe qui n’est pas fourni par le vendeur ou le bailleur lui-même, mais qui est fourni, conformément au contrat de vente ou de location, par un tiers. En cas de doute sur la question de savoir si la fourniture d’un service connexe est nécessaire pour maintenir le bon fonctionnement du produit connecté, et si la fourniture de services fait ou non partie du contrat de vente ou de location, il conviendrait d’appliquer le présent règlement. Ni la fourniture d’énergie ni la fourniture de connectique ne doivent être interprétées comme étant des services connexes au titre du présent règlement.
(17) Les données auxquelles l’accès a été obtenu à partir d’un produit connecté ou générées lors de la fourniture de services connexes incluent les données enregistrées intentionnellement par l’utilisateur. De telles données comprennent également les données générées en tant que sous-produit de l’action de l’utilisateur, telles que les données de diagnostic, celles générées sans aucune action de la part de l’utilisateur, les données relatives à l’environnement ou aux interactions du produit connecté, y compris lorsque le produit est en «mode veille», et les données enregistrées pendant les périodes au cours desquelles le produit est éteint. De telles données devraient inclure les données dans la forme et le format dans lesquels l’accès est obtenu à partir du produit, et être compilées dans un format compréhensible, structuré, couramment utilisé et lisible par machine, accompagnées des métadonnées pertinentes, mais elles ne devraient pas concerner les données résultant d’une valeur ajoutée par l’intermédiaire d’un procédé logiciel qui calcule des données dérivées lorsque ce procédé logiciel est susceptible d’être soumis à des secrets d’affaires et des droits de propriété intellectuelle. Lorsque l’accès aux données se fait sous forme cryptée, il convient que l’utilisateur dispose de tous les moyens nécessaires pour décrypter ces données et les rendre accessibles.
(17 bis) Des efforts supplémentaires doivent être fournis en vue de consolider l’économie des données et la gouvernance des données. Il est notamment essentiel d’augmenter et de soutenir la littératie des données afin que les utilisateurs et les entreprises soient sensibilisés et incités à proposer et fournir l’accès à leurs données conformément aux règles juridiques applicables. Il s’agit là de la base d’une société durable fondée sur les données. L’application de mesures de littératie des données entraînerait la réduction des inégalités numériques, contribuerait à améliorer les conditions de travail, et enfin, soutiendrait la consolidation et le parcours d’innovation de l’économie des données dans l’Union. Pour créer des emplois de grande qualité, l’acquisition et le développement de compétences en matière de littératie des données, permettant aux citoyens et travailleurs d’acquérir des compétences numériques, devraient être garantis en particulier dans le cas des salariés de jeunes entreprises et de PME.
(18) Il conviendrait d’entendre par utilisateur d’un produit connecté la personne morale ou physique, telle qu’une entreprise, un consommateur ou un organisme du secteur public, qui a acquis le produit connecté ou qui bénéficie de services connexes, ou à qui le propriétaire du produit connecté a transféré, sur la base d’un contrat de location, des droits temporaires lui permettant d’utiliser le produit connecté ou de bénéficier de services connexes. Cet utilisateur supporte les risques et bénéficie des avantages que présente l’utilisation du produit connecté et il devrait ▌par conséquent avoir le droit de tirer parti des données auxquelles l’accès est obtenu à partir du produit connecté et générées dans le cadre de la fourniture de tout service connexe.
(18 bis) La «littératie des données» renvoie aux compétences, aux connaissances et à la compréhension permettant aux utilisateurs, consommateurs et entreprises, en particulier les micro, petites et moyennes entreprises, d’être sensibilisés à la valeur potentielle des données qu’ils génèrent, produisent et partagent, dans le contexte de leurs droits et obligations tels que prévus dans le présent règlement et dans d’autres règlements de l’Union portant sur les données. La littératie des données devrait aller au-delà de l’apprentissage des outils et technologies et de l’objectif de donner aux citoyens et entreprises la capacité de bénéficier d’un marché des données équitable. C’est pourquoi il est nécessaire que la Commission et les États membres, en coopération avec tous les acteurs sociaux pertinents, promeuvent le développement de la littératie des données, dans tous les secteurs de la société, pour les citoyens de tous âges, y compris les femmes et les filles. Par conséquent, l’Union et ses États membres devraient investir davantage dans l’éducation et la formation pour propager la littératie des données et suivre de près les progrès réalisés à cet égard. En conséquence, les entreprises devraient aussi favoriser les outils et prendre des mesures pour renforcer les compétences relevant de la littératie des données de leur personnel qui est chargé de l’accès aux données, de leur utilisation et de leur transfert, ainsi que, le cas échéant, des autres personnes qui traitent des données en leur nom, en tenant compte de leurs connaissances techniques, de leur expérience, de leur éducation, de leur formation et du type d’utilisateurs ou de groupes d’utilisateurs sur lesquels portent les données produites ou générées.
(19) En pratique, les données générées par des produits connectés ou des services connexes ne sont pas toutes aisément accessibles à leurs utilisateurs et les possibilités de portabilité des données générées par les produits connectés à l’internet ▌sont souvent limitées. Les utilisateurs ne sont pas en mesure d’obtenir les données nécessaires pour recourir à des fournisseurs de services de réparation et d’autres services, tandis que les entreprises sont dans l’impossibilité de lancer des services innovants, plus efficaces et plus pratiques. Dans de nombreux secteurs, les fabricants peuvent souvent déterminer, par le contrôle qu’ils exercent sur la conception technique du produit ou des services connexes, la nature des données générées et les modalités d’accès à ces données, même s’ils n’ont légalement aucun droit sur ces données. Il est par conséquent nécessaire de veiller à ce que les produits connectés soient conçus et fabriqués et à ce que les services connexes soient fournis de telle sorte que les données générées par leur utilisation soient toujours accessibles facilement à l’utilisateur, gratuitement, dans un format complet, structuré, couramment utilisé et lisible par machine, y compris aux fins d’extraction, d’utilisation ou de partage des données. Sauf disposition contraire du droit de l’Union ou des États membres ou des décisions pertinentes en matière d’ententes et d’abus de position dominante, ces données devraient être accessibles au niveau du traitement, y compris au moyen d’un logiciel contenu dans le produit connecté, relevant du choix du fabricant au moment de la conception, avant la vente à l’utilisateur. Les données devraient être disponibles sous la forme dans laquelle elles sont accessibles à partir du produit, avec pour seule adaptation le minimum nécessaire pour permettre leur utilisation par un tiers, y compris en ce qui concerne les métadonnées afférentes essentielles à l’interprétation et à l’utilisation des données. Cela requiert la suppression des obstacles techniques, afin de garantir que les utilisateurs, lorsque cela est techniquement possible, bénéficient d’un accès direct et en temps réel à leurs données, sans avoir à recourir à de longues procédures de vérification individuelle. Afin de faciliter l’accès des tiers aux données requises, un accès rentable aux outils logiciels est également nécessaire. Lorsque des mises à jour ou des modifications ultérieures du produit connecté, par le fabricant ou une autre partie, donnent lieu à des données accessibles supplémentaires ou à une limitation des données initialement accessibles, ces modifications devraient être communiquées à l’utilisateur dans le cadre de la mise à jour ou de la modification. Le présent règlement n’établit pas d’obligation de stocker des données de manière redondante sur l’unité informatique centrale d’un produit lorsque cette mesure est disproportionnée eu égard à l’utilisation prévue. Le présent règlement n’empêche pas le fabricant ou le détenteur de données de convenir volontairement avec l’utilisateur de réaliser de telles adaptations.
(20) En cas de copropriété d’un produit connecté et des services connexes fournis, lorsque plusieurs personnes ou entités sont propriétaires d’un produit ou sont parties à un contrat de location ▌, la conception du produit connecté ou du service connexe ou de l’interface correspondante devrait permettre à toutes les personnes d’avoir accès aux données qu’elles génèrent. Les utilisateurs de produits connectés qui génèrent des données ont généralement besoin de créer un compte d’utilisateur. Cela permet l’identification de l’utilisateur par le détenteur de données, qui peut être le fabricant, et constitue un moyen de communication pour effectuer des demandes d’accès aux données et les traiter. À des fins d’identification et d’authentification, les fabricants et les fournisseurs de services connexes devraient permettre aux utilisateurs d’utiliser des portefeuilles européens d’identité numérique, délivrés conformément au règlement (UE) 910/2014(13). Les fabricants ou concepteurs d’un produit qui est généralement utilisé par plusieurs personnes devraient mettre en place le mécanisme nécessaire permettant la coexistence de comptes d’utilisateur distincts pour différentes personnes, s’il y a lieu, ou permettant à plusieurs personnes d’utiliser le même compte d’utilisateur. L’accès devrait être accordé à l’utilisateur au moyen de mécanismes de simple demande permettant l’exécution automatique, sans qu’un fabricant ou ▌détenteur de données ne soit tenu d’examiner ou d’approuver la demande. Cela signifie que les données ne devraient être mises à disposition que lorsque l’utilisateur le souhaite effectivement. Lorsqu’il n’est pas possible de procéder à l’exécution automatique de la demande d’accès aux données, par exemple au moyen d’un compte d’utilisateur ou d’une application mobile fournie avec le produit ou le service, le fabricant devrait informer l’utilisateur des modalités d’accès aux données. Les comptes d’utilisateur devraient permettre aux utilisateurs de retirer le consentement au traitement et au partage de données, ainsi que de demander la suppression des données générées par l’utilisation du produit connecté, notamment dans les cas où les utilisateurs du produit auraient l’intention de transférer la propriété du produit à une autre partie.
(21) Les produits peuvent être conçus de façon à ce que certaines données soient directement disponibles à partir d’un dispositif de stockage intégré à l’appareil ou d’un serveur distant auquel les données sont communiquées. L’accès à ce dispositif de stockage de données peut être rendu possible par l’intermédiaire de réseaux locaux câblés ou sans fil connectés soit à un service de communications électroniques accessible au public, soit à un réseau mobile. Pour ce qui est du serveur, il peut s’agir de la propre capacité de serveur locale du fabricant ou de celle d’un tiers ou d’un ▌ nuage. Les sous-traitants de données au sens du règlement (UE) 2016/679 ne sont pas considérés par défaut comme agissant en qualité de détenteurs de données, sauf s’ils sont spécifiquement chargés par le responsable du traitement des données d’agir en cette qualité. Les produits peuvent être conçus pour permettre à l’utilisateur ou à un tiers de traiter les données relatives au produit ou à une instance informatique du fabricant.
(22) Les assistants virtuels jouent un rôle croissant dans la dématérialisation de l’environnement des consommateurs et des professionnels, et servent d’interface facile à utiliser pour jouer des contenus, obtenir des informations ou activer des objets physiques connectés à l’internet ▌. Ils peuvent servir de portail unique dans un environnement domestique intelligent, par exemple, et enregistrer des quantités importantes de données utiles sur la manière dont les utilisateurs interagissent avec les produits connectés à l’internet ▌, dont ceux fabriqués par d’autres parties, et ils peuvent remplacer l’utilisation d’interfaces fournies par le fabricant telles que des écrans tactiles ou des applications pour smartphones. L’utilisateur pourrait souhaiter mettre ces données à la disposition de fabricants tiers et ainsi permettre l’avènement de services domotiques nouveaux. Ces assistants virtuels devraient relever du droit d’accès aux données prévu par le présent règlement également en ce qui concerne, d’une part, les données enregistrées avant l’activation de l’assistant virtuel par le mot déclencheur et, d’autre part, les données générées lorsqu’un utilisateur interagit avec un produit connecté par l’intermédiaire d’un assistant virtuel fourni par une entité autre que le fabricant du produit connecté.
(23) Avant de conclure un contrat d’achat d’un produit connecté, le fabricant ou, le cas échéant, le vendeur, devrait fournir à l’utilisateur des informations claires et suffisantes concernant les données accessibles depuis le produit connecté, y compris le type, le format, la fréquence d’échantillonnage et le volume estimé de données accessibles. Cela devrait inclure des informations sur les structures de données, les formats de données, les vocabulaires, les systèmes de classification, les taxinomies et les listes de codes, le cas échéant, ainsi que des informations sur les modalités de stockage, d’extraction ou d’accès aux données, y compris la fourniture de kits de développement logiciel ou d’interfaces de programmation d’applications, ainsi que leurs conditions d’utilisation et leurs descriptions de qualité de service. Cette obligation permet de garantir la transparence quant aux données accessibles générées et accroît la facilité d’accès pour l’utilisateur. L’obligation de transparence pourrait être satisfaite par le détenteur de données, par exemple en utilisant un localisateur uniforme de ressources (URL) stable sur le web, qui pourrait être distribué sous forme de lien web ou de code QR et qui redirigerait vers les informations pertinentes. Le fabricant ou, le cas échéant, le vendeur pourrait fournir à l’utilisateur cet URL avant de conclure le contrat d’achat d’un produit connecté. Il est en tout cas nécessaire que l’utilisateur ait la possibilité de stocker les informations de manière à pouvoir les retrouver ultérieurement et les reproduire à l’identique. Cette obligation d’information ne porte pas atteinte à l’obligation incombant au responsable du traitement de fournir des informations à la personne concernée en application des articles 12, 13 et 14 du règlement (UE) 2016/679.
(23 bis) Les services connexes devraient être fournis de manière à ce que les données générées au cours de leur fourniture, qui correspondent à la numérisation des actions ou des événements de l’utilisateur, soient, par défaut, accessibles facilement, de manière sécurisée, et, lorsque cela est pertinent et techniquement possible, directement et gratuitement à l’utilisateur dans un format structuré, couramment utilisé et lisible par machine, de même que les métadonnées pertinentes nécessaires pour les interpréter et les utiliser. Les informations dérivées ou déduites de ces données au moyen d’algorithmes propriétaires complexes, en particulier lorsqu’elles combinent les données issues de plusieurs capteurs dans le produit connecté, ne devraient pas être prises en compte dans le champ d’application de l’obligation du détenteur de données de partager des données avec des utilisateurs ou des destinataires de données, à moins qu’il n’en soit convenu autrement. Avant de conclure un accord avec un utilisateur sur la fourniture d’un service connexe, impliquant l’accès du fournisseur aux données du produit connecté, conformément à l’article 4, paragraphe 6, du présent règlement, le fournisseur devrait convenir avec l’utilisateur de la nature, du volume, de la fréquence de collecte et du format des données auxquelles le fournisseur de services connexes a accès à partir du produit connecté, ainsi que de la nature et du volume estimé des données générées pendant la fourniture du service connexe et, le cas échéant, des modalités permettant à l’utilisateur d’accéder à ces données ou de les extraire, y compris la période pendant laquelle elles devraient être stockées.
(24) Le présent règlement impose aux détenteurs de données de mettre des données à disposition dans certaines circonstances. Dans la mesure où des données à caractère personnel sont traitées, un détenteur de données devrait faire fonction de responsable du traitement au sens du règlement (UE) 2016/679. Lorsque les utilisateurs sont des personnes concernées, les détenteurs de données devraient être tenus de leur donner accès à leurs données et de mettre ces dernières à la disposition de tiers choisis par l’utilisateur conformément au présent règlement. Toutefois, le présent règlement ne crée pas de base juridique fondée sur le règlement (UE) 2016/679 permettant aux détenteurs de données d’accorder l’accès à des données à caractère personnel ou de mettre celles-ci à la disposition d’un tiers à la demande d’un utilisateur qui n’est pas une personne concernée et il ne devrait pas être interprété comme conférant aux détenteurs de données un droit nouveau d’utiliser les données qui sont consultées à partir du produit connecté ou qui sont générées pendant la fourniture d’un service connexe. Cela vaut en particulier lorsque le fabricant est un détenteur de données. Dans ce dernier cas, l’utilisation de données à caractère non personnel par le fabricant devrait être fondée sur un accord contractuel entre le fabricant et l’utilisateur. Cet accord pourrait faire partie du contrat de vente relatif au produit connecté. Il convient de donner à l’utilisateur une possibilité raisonnable de rejeter cet accord. Si un utilisateur décide de rejeter les clauses et conditions contractuelles, cela ne devrait pas l’empêcher d’utiliser le produit concerné du service, à moins que celui-ci ne puisse fonctionner que si l’utilisateur a accepté les clauses contractuelles. Toute clause contractuelle stipulant qu’un détenteur de données peut utiliser les données générées par l’utilisateur d’un produit ou d’un service connexe devrait être transparente pour l’utilisateur, y compris en ce qui concerne la finalité pour laquelle un détenteur de données a l’intention d’utiliser ces données. Le présent règlement ne devrait pas faire obstacle à des conditions contractuelles ayant pour effet d’exclure ou de limiter l’utilisation des données, ou de certaines catégories d’entre elles, par un détenteur de données. Le présent règlement ne devrait pas non plus faire obstacle aux exigences réglementaires sectorielles prévues par le droit de l’Union, ou par le droit national compatible avec le droit de l’Union, qui excluraient ou limiteraient l’utilisation de certaines de ces données par un détenteur de données pour des raisons d’ordre public bien définies.
(24 bis) À l’heure actuelle, il est souvent difficile pour les entreprises de justifier les frais de personnel ou informatiques qui sont nécessaires pour préparer des ensembles de données à caractère non personnel ou des produits de données et les proposer à des cocontractants potentiels sur des places de marché de données, y compris des services d’intermédiation de données, tels que définis dans le règlement (UE) 2022/868 du Parlement européen et du Conseil(14). L’un des obstacles majeurs au partage de données à caractère non personnel par les entreprises résulte donc du manque de prévisibilité en ce qui concerne la rentabilité économique des investissements dans la conservation et la mise à disposition d’ensembles de données ou de produits de données. Pour permettre l’émergence de marchés liquides, efficaces et équitables pour les données à caractère non personnel dans l’Union, il faut préciser quelle est la partie qui a le droit de proposer ces données sur un marché. Les utilisateurs devraient par conséquent avoir le droit de partager des données à caractère non personnel avec des destinataires de données à des fins commerciales et non commerciales. L’utilisateur pourrait lui-même assurer un tel partage de données, en faire la demande par l’intermédiaire du détenteur de données ou avoir recours à des services d’intermédiation de données. Les services d’intermédiation de données, tels que régis par le règlement (UE) 2022/868, pourraient favoriser une économie fondée sur les données en établissant des relations commerciales entre les utilisateurs, les destinataires de données et les tiers, et pourraient aider les utilisateurs à exercer leur droit d’utiliser les données, par exemple en garantissant l’anonymisation appropriée des données ou l’agrégation des moyens d’accès aux données de plusieurs utilisateurs individuels. Afin de préserver les mesures incitatives encourageant les utilisateurs à monétiser les données à caractère non personnel provenant de produits connectés qu’ils possèdent, les détenteurs de données ne devraient pouvoir monétiser que des ensembles de données agrégées provenant de plusieurs utilisateurs et ne devraient pas mettre à la disposition de tiers les données à caractère non personnel auxquelles ils ont accès à partir de produits connectés à des fins commerciales ou non commerciales, autres que l’exécution de leurs obligations contractuelles envers les utilisateurs. Dans le même temps, lorsque les détenteurs de données ont accordé contractuellement aux utilisateurs le droit d’utiliser ces données, ils devraient être libres de les utiliser à des fins très diverses, notamment pour améliorer le fonctionnement du produit connecté ou des services connexes, pour développer de nouveaux produits ou services, ou les enrichir, les manipuler ou les agréger avec d’autres données, y compris dans le but de mettre à la disposition de tiers l’ensemble de données qui en résulte, pour autant que cet ensemble de données dérivées ne permette pas d’identifier les éléments de données spécifiques auxquels le détenteur de données a eu accès à partir du produit connecté, ou ne permette pas à un tiers d’extraire ces éléments de données de l’ensemble de données sans déployer des efforts considérables.
(24 ter) Lorsque les produits génèrent des données dérivées ou déduites d’autres données générées par le produit connecté au moyen d’algorithmes complexes et propriétaires, y compris ceux qui font partie d’un logiciel propriétaire, au sens de la directive nº 2009/24/CE du Parlement européen et du Conseil(15), ces données devraient être considérées comme ne relevant pas du champ d’application du présent règlement et, par conséquent, ne pas être soumises à l’obligation pour un détenteur de données de les mettre à la disposition d’un utilisateur ou d’un destinataire de données, sauf accord contraire entre l’utilisateur et le détenteur de données. Ces données devraient comprendre en particulier les informations obtenues au moyen de la fusion des données de capteurs, de la déduction ou de la dérivation de données provenant de capteurs multiples, collectées dans le produit connecté, au moyen d’algorithmes complexes et propriétaires. Toutefois, l’obligation faite aux détenteurs de données de mettre celles-ci à la disposition de leurs utilisateurs et de leurs destinataires devrait s’appliquer aux données déduites ou dérivées du traitement de données brutes collectées à partir d’un capteur unique ou d’un groupe de capteurs connecté dans le but de rendre les données collectées compréhensibles pour les cas d’utilisation plus larges en déterminant une grandeur ou une qualité physique ou la modification d’une grandeur physique, telle que la température, la pression, le débit, le pH, le niveau de liquide, la position, l’accélération ou la vitesse. Il convient en outre de définir plus précisément les données accessibles dans la législation sectorielle en se basant sur les spécificités du secteur.
(24 quater) En principe, pour favoriser l’émergence de marchés liquides, équitables et efficaces des données à caractère non personnel, les utilisateurs de produits connectés devraient avoir la possibilité de partager des données avec d’autres personnes, notamment à des fins commerciales, sans grands efforts juridiques et techniques. Un utilisateur partageant des données devrait pouvoir le faire en sachant, en amont du partage, avec un degré de certitude élevé, qu’il ne sera pas confronté à des conséquences juridiques négatives une fois le partage effectué. Par conséquent, lorsque l’obligation d’un détenteur de données de mettre celles-ci à la disposition des utilisateurs ou des destinataires des données ne s’applique pas à certaines données, l’éventail des données en question devrait être défini dans l’accord contractuel conclu entre l’utilisateur et le détenteur de données pour la fourniture d’un service connexe dans un format compréhensible et clair, de manière à ce que les utilisateurs puissent facilement déterminer quelles sont les données qui peuvent être partagées avec des destinataires ou des tiers sans être sujettes à une obligation supplémentaire de protection.
(24 quinquies) Il existe de multiples raisons pour lesquelles certaines données générées par l’utilisation d’un produit restent inaccessibles à un détenteur de données et ne sont donc pas susceptibles de tomber sous le coup des obligations de partage prévues au chapitre II. Les données peuvent être très volatiles (valeurs enregistrées à haute fréquence) et écrasées instantanément ou rapidement. Elles ne peuvent être collectées que pour l’activation d’une fonction très spécifique, telle que l’activité des essuie-glaces ou des phares, et il n’existe actuellement aucun cas d’utilisation et la conception du produit ne prévoit pas que ces données soient stockées dans le produit au vu du coût lié au stockage de ces données, de la connexion du capteur de données à un composant informatique central à partir duquel les données pourraient être exportées et des coûts de connectivité pour la transmission des données lorsque les volumes sont considérables. À cet égard, des réglementations sectorielles devraient préciser davantage la pertinence des données accessibles en fonction de leurs spécificités afin de garantir au moins la disponibilité des données essentielles pour la réparation ou l’entretien des produits connectés et des services connexes.
(25) Dans les secteurs caractérisés par la concentration d’un petit nombre de fabricants ou de fournisseurs de services connexes qui approvisionnent les utilisateurs finaux, la capacité des utilisateurs à négocier l’accès aux données transférées par le produit connecté ou générées lors de la fourniture de services connexes est limitée en raison du pouvoir de négociation du fabricant ou du fournisseur de services connexes. En pareilles circonstances, il se peut que les accords contractuels ne suffisent pas pour atteindre l’objectif de responsabilisation des utilisateurs. Les données tendent à rester sous le contrôle des fabricants ou des fournisseurs de services connexes, de sorte qu’il est difficile pour les utilisateurs d’obtenir de la valeur à partir des données générées par les équipements qu’ils possèdent. En conséquence, la possibilité pour les petites entreprises innovantes de proposer des solutions fondées sur les données de manière compétitive et en faveur d’une économie des données diversifiée en Europe est limitée. Le présent règlement devrait par conséquent s’appuyer sur les évolutions récentes survenues dans certains secteurs, telles que le code de conduite pour le partage des données agricoles par accord contractuel. Des actes législatifs sectoriels pourraient être présentés pour répondre à des besoins, préoccupations sécuritaires et objectifs sectoriels. De surcroît, les détenteurs de données ne devraient utiliser aucune donnée à laquelle ils ont eu accès à partir du produit connecté ou qui a été générée pendant la fourniture des services connexes afin d’obtenir des informations sur la situation économique, les actifs ou les méthodes de production de l’utilisateur, ou sur l’utilisation d’une quelconque autre manière que ce dernier fait du produit ou du service connexe, qui sont susceptibles de porter atteinte à la position commerciale de l’utilisateur sur les marchés où celui-ci est actif. Cela impliquerait, par exemple, d’utiliser des connaissances relatives aux performances globales d’une entreprise ou d’une exploitation agricole à l’occasion de négociations contractuelles avec l’utilisateur sur l’acquisition potentielle de produits ou de produits agricoles de l’utilisateur au détriment de ce dernier ou, par exemple, d’utiliser ces informations pour alimenter des bases de données plus vastes et agrégées relatives à certains marchés (par exemple, des bases de données sur les rendements des cultures pour la prochaine saison de récolte) parce qu’une telle utilisation pourrait avoir des répercussions négatives indirectes sur l’utilisateur. Il conviendrait de doter l’utilisateur de l’interface technique nécessaire pour lui permettre de gérer les autorisations, qui comprendrait de préférence des options d’autorisation par niveau (telles que «autoriser une fois» ou «autoriser lors de l’utilisation de cette application ou de ce service»), y compris l’option de retirer l’autorisation.
(26) En ce qui concerne les contrats conclus entre un détenteur de données et un consommateur en tant qu’utilisateur de produits connectés ou d’un service connexe générant des données, le droit de la consommation de l’Union s’applique, à savoir la directive 2005/29/CE, qui s’applique contre les pratiques commerciales déloyales, et la directive 93/13/CEE, qui s’applique aux clauses de ces contrats afin de garantir que le consommateur ne soit pas soumis à des clauses contractuelles abusives. Pour ce qui concerne les clauses contractuelles abusives imposées ▌ , le présent règlement prévoit que de telles clauses abusives ne devraient pas lier ladite entreprise.
(27) Les détenteurs de données peuvent exiger une identification appropriée de l’utilisateur pour vérifier que ce dernier a le droit d’accéder aux données. Dans le cas de données à caractère personnel traitées par un sous-traitant pour le compte du responsable du traitement, les détenteurs de données devraient veiller à ce que la demande d’accès soit reçue et traitée par le sous-traitant.
(28) L’utilisateur devrait être libre d’utiliser les données à toutes fins licites. Il peut notamment s’agir de transmettre les données que l’utilisateur a reçues en exerçant le droit prévu par le présent règlement à un destinataire de données proposant un service après-vente qui peut être en concurrence avec un service fourni par un détenteur de données, ou de donner instruction au détenteur de données de le faire. La demande devrait également être recevable, qu’elle soit formulée par l’utilisateur ou par un tiers autorisé à agir pour le compte d’un utilisateur, tel qu’un service d’intermédiation de données autorisé au sens du règlement (UE) 2022/868. Les détenteurs de données devraient veiller à ce que les données mises à la disposition d’un destinataire de données soient aussi exactes, complètes, fiables, pertinentes et à jour que les données auxquelles lui-même a le droit d’avoir accès, ou peut avoir accès, du fait de l’utilisation du produit connecté ou du service connexe. Tout secret d’affaires ou droit de propriété intellectuelle devrait être pleinement respecté lors du traitement des données. Il importe de préserver les incitations à investir dans des produits dotés de fonctionnalités fondées sur l’utilisation de données provenant de capteurs intégrés dans ces produits. Le présent règlement devrait donc être interprété comme ayant pour objet de favoriser le développement de nouveaux produits et services connexes innovants, de stimuler l’innovation sur les marchés de l’après-vente, mais aussi de stimuler le développement de services entièrement nouveaux utilisant les données, y compris sur la base de données provenant de divers produits ou services connexes. Il vise dans le même temps à éviter que les incitations à l’investissement soient fragilisées pour le type de produit à partir duquel les données sont obtenues, par exemple du fait de l’utilisation des données pour développer un produit concurrent. Les autres fins licites dans ce contexte comprennent l’ingénierie inverse, lorsqu’elle est autorisée en vertu de la directive (UE) 2016/943 du Parlement européen et du Conseil(16) en tant que moyen licite de découverte indépendante de savoir-faire ou d’informations, à condition qu’elle n’entraîne pas de concurrence déloyale et qu’elle ne porte pas atteinte à l’obligation de ne pas développer un produit concurrent en utilisant les données reçues au titre du présent règlement. Ce peut être le cas aux fins de la réparation, de la prolongation de la durée de vie d’un produit ou de la fourniture de services après-vente à des produits connectés lorsque le fabricant ou le fournisseur de services connexes a mis fin à sa production ou à sa prestation.
(28 bis) Le présent règlement devrait être interprété de manière à préserver la protection accordée aux secrets d’affaires en vertu de la directive (UE) 2016/943. À cette fin, les détenteurs de données devraient pouvoir demander à l’utilisateur ou aux tiers choisis par les utilisateurs de préserver la confidentialité des données considérées comme relevant du secret d’affaires. Les secrets d’affaires devraient être identifiés avant la divulgation. Cependant, les détenteurs de données ne peuvent pas remettre en cause le droit des utilisateurs de demander l’accès et l’utilisation de données conformément au présent règlement en se fondant sur le fait que certaines données sont considérées comme des secrets d’affaires par le détenteur des données. Le détenteur de données, ou le détenteur de secrets d’affaires lorsqu’il n’est pas le détenteur de données, devrait avoir la possibilité de convenir avec l’utilisateur, ou des tiers choisis par les utilisateurs, de mesures appropriées pour préserver leur confidentialité, y compris par l’utilisation de clauses contractuelles types, d’accords de confidentialité, de protocoles d’accès stricts, de normes techniques et de l’application de codes de conduite. Dans les cas où l’utilisateur ou des tiers choisis par les utilisateurs ne mettent pas en œuvre ces mesures ou portent atteinte à la confidentialité des secrets d’affaires, le détenteur de données devrait pouvoir suspendre le partage de données identifiées comme secrets d’affaires, dans l’attente d’un examen par le coordinateur de données de l’État membre. Dans de tels cas, le détenteur de données devrait immédiatement signaler au coordinateur de données de l’État membre dans lequel il est établi, conformément à l’article 31 du présent règlement, qu’il a suspendu le partage des données, et repérer les mesures qui n’ont pas été mises en œuvre ou les secrets d’affaires dont la confidentialité a été mise en péril. Si l’utilisateur, ou un tiers de son choix, souhaite contester la décision du détenteur de données de suspendre le partage des données, le coordinateur de données devrait décider, dans un délai raisonnable, si le partage des données doit reprendre et, si oui, sous quelles conditions. La Commission, assistée du comité européen de l’innovation dans le domaine des données, devrait développer des clauses contractuelles types et devrait être capable de développer des normes techniques. La Commission, assistée du comité européen de l’innovation, pourrait également encourager l’instauration de codes de conduite en relation avec le respect des secrets d’affaires ou les droits de propriété intellectuelle dans le traitement des données, afin d’aider à atteindre les objectifs du présent règlement.
(29) Un destinataire de données auquel des données sont mises à disposition peut être une personne physique ou morale, une entreprise, un organisme de recherche, un organisme à but non lucratif ou un intermédiaire, notamment des services d’intermédiation de données ou des organisations altruistes en matière de données tels que définis dans le règlement (EU) 2022/868. En mettant les données à la disposition d’un destinataire de données, les détenteurs de données devraient s’abstenir d’abuser de leur position pour rechercher un avantage concurrentiel sur des marchés où un détenteur de données et un destinataire de données peuvent être en concurrence directe. Les détenteurs de données ne devraient donc utiliser aucune donnée à laquelle ils ont eu accès à partir du produit connecté ou qui a été générée durant la fourniture d’un service connexe pour obtenir des informations sur la situation économique, les actifs ou les méthodes de production du tiers, ou sur l’utilisation d’une quelconque autre manière que ce dernier fait du produit ou du service connexe, qui sont susceptibles de porter atteinte à la position commerciale du tiers sur les marchés où celui-ci est actif. L’utilisateur devrait avoir le droit de partager, à des fins commerciales, des données à caractère non personnel avec des tiers. Avec l’accord de l’utilisateur, et sous réserve des dispositions du présent règlement, les destinataires des données devraient pouvoir transférer à des tiers les droits d’accès aux données accordés par l’utilisateur, y compris en échange d’une compensation. Les services d’intermédiation de données [tels que régis par le règlement (UE) 2022/868] peuvent aider les utilisateurs ou les destinataires de données à établir une relation commerciale à toutes fins licites en se fondant sur des données relevant du champ d’application du présent règlement. Ils pourraient jouer un rôle essentiel dans l’agrégation de l’accès aux données d’un grand nombre d’utilisateurs individuels potentiels, facilitant ainsi les analyses de mégadonnées ou l’apprentissage automatique, tant que ces utilisateurs gardent totalement le contrôle sur la participation ou la non-participation de leurs données à une telle agrégation et sur les conditions commerciales encadrant l’utilisation de celles-ci.
(30) L’utilisation d’un produit ou d’un service connexe peut, en particulier lorsque l’utilisateur est une personne physique, générer des données se rapportant à une personne physique identifiée ou identifiable (la personne concernée). Le traitement de ces données est soumis aux règles établies par le règlement (UE) 2016/679, y compris lorsque les données à caractère personnel et non personnel figurant dans un ensemble de données sont inextricablement liées(17). La personne concernée peut être l’utilisateur ou une autre personne physique. Les données à caractère personnel ne peuvent être demandées que par un responsable du traitement ou une personne concernée. Un utilisateur qui est la personne concernée a, dans certaines circonstances, le droit en vertu du règlement (UE) 2016/679 d’accéder aux données à caractère personnel le concernant, et le présent règlement ne porte pas atteinte à ce droit. En vertu du présent règlement, l’utilisateur qui est une personne physique a également le droit d’accéder à toutes les données générées par le produit, qu’elles soient à caractère personnel ou non personnel. Lorsque l’utilisateur n’est pas la personne concernée mais une entreprise, y compris un entrepreneur individuel, sauf en cas d’usage domestique partagé du produit, l’utilisateur sera un responsable du traitement au sens du règlement (UE) 2016/679. En conséquence, un utilisateur, qui, en tant que responsable du traitement, a l’intention de demander des données à caractère personnel générées par l’utilisation d’un produit ou d’un service connexe, est tenu de disposer d’une base juridique pour le traitement des données au titre de l’article 6, paragraphe 1, du règlement (UE) 2016/679, comme le consentement de la personne concernée ou un intérêt légitime. Cet utilisateur devrait veiller à ce que la personne concernée soit dûment informée des finalités spécifiées, explicites et légitimes du traitement de ces données et de la manière dont elle peut exercer effectivement ses droits. Lorsque le détenteur de données et l’utilisateur sont des responsables conjoints du traitement au sens de l’article 26 du règlement (UE) 2016/679, ils sont tenus de déterminer, de manière transparente, au moyen d’un accord entre eux, leurs responsabilités respectives quant au respect dudit règlement. Il convient de comprendre qu’un tel utilisateur, une fois que les données ont été mises à sa disposition, peut à son tour devenir détenteur de données s’il remplit les critères prévus par le présent règlement et est donc soumis aux obligations de mise à disposition des données prévues par le présent règlement.
(31) Les données auxquelles l’accès a été obtenu à partir d’un produit connecté ou générées pendant la fourniture d’un service connexe ne devraient être mises à la disposition d’un tiers qu’à la demande de l’utilisateur. Le présent règlement complète donc le droit prévu à l’article 20 du règlement (UE) 2016/679. Ledit article prévoit le droit pour les personnes concernées de recevoir les données à caractère personnel les concernant dans un format structuré, couramment utilisé et lisible par machine, et de les transférer à d’autres responsables du traitement, lorsque ces données sont traitées sur la base de l’article 6, paragraphe 1, point a), ou de l’article 9, paragraphe 2, point a), ou sur la base d’un contrat en application de l’article 6, paragraphe 1, point b). Les personnes concernées ont également le droit de faire transmettre les données à caractère personnel directement d’un responsable du traitement à un autre, mais uniquement lorsque cela est techniquement possible. L’article 20 indique qu’il porte sur les données fournies par la personne concernée, mais ne précise pas si cela nécessite un comportement actif de la part de la personne concernée ou s’il s’applique également aux situations dans lesquelles un produit ou un service connexe, par sa conception, observe le comportement d’une personne concernée ou d’autres informations en rapport avec une personne concernée de manière passive. Le droit prévu par le présent règlement complète de plusieurs manières le droit de recevoir et de transférer des données à caractère personnel prévu à l’article 20 du règlement (UE) 2016/679. Il accorde aux utilisateurs le droit d’accéder à toutes données auxquelles l’accès a été obtenu à partir du produit connecté ou qui sont générées pendant la fourniture d’un service connexe et de mettre celles-ci à la disposition d’un destinataire de données, quelle que soit leur nature en tant que données à caractère personnel, sans distinction entre les données activement fournies, les données extrapolées et les données observées passivement, et quelle que soit la base juridique du traitement. À la différence des obligations techniques prévues à l’article 20 du règlement (UE) 2016/679, le présent règlement rend obligatoire et garantit la faisabilité technique de l’accès des tiers à tous les types de données relevant de son champ d’application, qu’elles soient à caractère personnel ou non personnel. Il permet également aux détenteurs de données de fixer une compensation raisonnable à la charge des destinataires de données, mais pas de l’utilisateur, pour tous frais encourus liés à l’octroi d’un accès direct aux données générées par le produit de l’utilisateur. Si un détenteur de données et un tiers ne sont pas en mesure de s’entendre sur les conditions d’un tel accès direct, la personne concernée ne devrait en aucun cas être empêchée d’exercer les droits prévus par le règlement (UE) 2016/679, y compris le droit à la portabilité des données, en introduisant un recours conformément audit règlement. Il convient de comprendre dans ce contexte que, conformément au règlement (UE) 2016/679, un accord contractuel ne permet pas le traitement de catégories particulières de données à caractère personnel par les détenteurs de données ou le destinataire de données.
(32) L’accès à toutes les données stockées dans les équipements terminaux et obtenu à partir de ces derniers est soumis à la directive 2002/58/CE et requiert le consentement de l’abonné ou de l’utilisateur au sens de ladite directive, à moins qu’il ne soit strictement nécessaire à la fourniture d’un service de la société de l’information expressément demandé par l’utilisateur ou l’abonné (ou aux seules fins de la transmission d’une communication). La directive 2002/58/CE («directive vie privée et communications électroniques») (et la proposition de règlement «vie privée et communications électroniques») protège l’intégrité de l’équipement terminal de l’utilisateur en ce qui concerne l’utilisation des capacités de traitement et de stockage et la collecte d’informations. Les équipements de l’internet des objets sont considérés comme des équipements terminaux s’ils sont directement ou indirectement connectés à un réseau de communications public.
(33) Afin d’empêcher l’exploitation des utilisateurs, les destinataires auxquels des données ont été mises à disposition à la demande de l’utilisateur devraient les traiter aux seules fins convenues avec l’utilisateur et ne devraient pas les partager avec un autre tiers sans informer l’utilisateur en temps utile de cela de manière non équivoque et sans accord explicite de l’utilisateur pour ce faire.
(34) Les destinataires de données ne devrait avoir accès qu’aux informations supplémentaires nécessaires à la fourniture du service demandé par l’utilisateur. Après avoir obtenu l’accès aux données, le destinataire de données devrait traiter celles-ci exclusivement aux fins convenues avec l’utilisateur, sans ingérence du détenteur des données. Il devrait être aussi facile pour l’utilisateur de refuser ou d’interrompre l’accès aux données par le destinataire de données que d’autoriser cet accès. Un destinataire ou détenteur de données devraient s’abstenir de rendre l’exercice des droits ou les choix des utilisateurs indûment difficiles, notamment en proposant des choix aux utilisateurs d’une manière non neutre, ou de contraindre, tromper ou manipuler l’utilisateur de quelque manière que ce soit, ou de nuire ou de porter atteinte à l’autonomie, à la prise de décision ou aux libres choix de l’utilisateur, y compris au moyen d’une interface numérique ou d’une partie de celle-ci, notamment sa structure, sa conception, sa fonction ou son mode de fonctionnement, avec l’utilisateur. Dans ce contexte, les tiers ou les détenteurs de données devraient s’abstenir de recourir à des pièges à utilisateurs lors de la conception de leurs interfaces numériques. Ces pièges à utilisateurs sont des techniques de conception qui poussent les consommateurs à prendre des décisions indésirables susceptibles d’avoir des conséquences négatives pour eux ou qui les induisent en erreur à cette fin. L’utilisation de ces techniques de manipulation peut avoir pour but de persuader les utilisateurs, notamment les consommateurs vulnérables, d’adopter des comportements indésirables, de tromper les utilisateurs en les poussant à prendre des décisions relatives aux opérations de divulgation d’informations, ou de biaiser exagérément la décision des utilisateurs du service, d’une manière qui sape ou altère leur autonomie, leur décision et leur choix. Les pratiques commerciales communes et légitimes qui sont conformes au droit de l’Union ne devraient pas en soi être considérées comme des pièges à utilisateurs. Les tiers et les détenteurs de données devraient respecter les obligations qui leur incombent en vertu du droit de l’Union pertinent, notamment les exigences énoncées dans la directive 2005/29/CE, la directive 2011/83/UE, la directive 2000/31/CE et la directive 98/6/CE.
(35) Les détenteurs et les destinataires de données devraient également s’abstenir d’utiliser les données pour identifier des personnes, à moins que les activités de traitement concernées ne soient strictement nécessaires pour fournir le service demandé par l’utilisateur. L’obligation de supprimer les données à caractère personnel lorsqu’elles ne sont plus nécessaires à la finalité convenue avec l’utilisateur complète le droit à l’effacement conféré à la personne concernée en application de l’article 17 du règlement (UE) 2016/679. Lorsqu’un destinataire de données est un fournisseur d’un service d’intermédiation de données au sens du règlement (UE) 2022/868, les garanties pour la personne concernée prévues par ledit règlement s’appliquent. Le tiers peut utiliser les données pour développer un produit nouveau et innovant ou un service connexe, mais pas pour développer un produit concurrent.
(36) Les start-up, les PME et les entreprises des secteurs traditionnels dont les capacités numériques sont moins poussées peinent à obtenir l’accès aux données pertinentes. Le présent règlement vise à faciliter l’accès de ces entités aux données, tout en veillant à ce que les obligations correspondantes aient une portée aussi proportionnée que possible afin d’éviter tout excès. Dans le même temps, un petit nombre de très grandes entreprises ont vu le jour qui possèdent une puissance économique considérable dans l’économie numérique grâce à l’accumulation et à l’agrégation de volumes considérables de données ainsi qu’à l’infrastructure technologique nécessaire à leur monétisation. Parmi ces entreprises figurent des sociétés qui fournissent des services de plateforme essentiels contrôlant des écosystèmes de plateformes entiers au sein de l’économie numérique, que les opérateurs du marché existants ou nouveaux sont incapables de concurrencer ou de contester. Le règlement (UE) 2022/1925 du Parlement européen et du Conseil(18) vise à remédier à ces manques d’efficacité et déséquilibres en permettant à la Commission de désigner un fournisseur en tant que «contrôleur d’accès», et impose à ces contrôleurs d’accès désignés un certain nombre d’obligations, dont l’interdiction de combiner certaines données sans consentement, et l’obligation de garantir un droit effectif à la portabilité des données en vertu de l’article 20 du règlement (UE) 2016/679. Conformément au ▌règlement (UE) 2022/1925, et compte tenu de la capacité sans égale de ces entreprises en matière d’acquisition de données, il ne serait pas nécessaire, pour atteindre l’objectif du présent règlement, et serait donc disproportionné à l’égard des détenteurs de données soumis à de telles obligations, d’inclure ces entreprises désignées contrôleur d’accès parmi les bénéficiaires du droit d’accès aux données. Cela signifie qu’une entreprise fournissant des services de plateforme essentiels qui a été désignée comme contrôleur d’accès ne peut demander ou se voir accorder l’accès aux données des utilisateurs générées par l’utilisation d’un produit ou d’un service connexe ou par un assistant virtuel sur la base des dispositions du chapitre II du présent règlement. Une entreprise fournissant des services de plateforme essentiels désignée comme contrôleur d’accès en vertu du règlement (UE) 2022/1925 devrait s’entendre comme incluant toutes les entités juridiques d’un groupe de sociétés lorsqu’une entité juridique fournit un service de plateforme essentiel. En outre, les tiers auxquels des données sont mises à disposition, à la demande de l’utilisateur, ne peuvent pas mettre celles-ci à la disposition d’un contrôleur d’accès désigné. Par exemple, le tiers ne peut sous-traiter la fourniture d’un service à un contrôleur d’accès. Cela n’empêche toutefois pas que des tiers puissent recourir aux services de traitement de données offerts par un contrôleur d’accès désigné. Cette exclusion des contrôleurs d’accès désignés du champ d’application du droit d’accès prévu par le présent règlement n’empêche pas ces entreprises d’obtenir des données par d’autres moyens licites.
(37) Les micro et petites entreprises devraient être exemptées des obligations prévues au chapitre II. Tel n’est toutefois pas le cas lorsqu’une micro ou petite entreprise travaille en sous-traitance pour la fabrication ou la conception d’un produit. Dans ce cas, l’entreprise, qui a pris la micro ou petite entreprise comme sous-traitant, est en mesure d’accorder au sous-traitant une compensation appropriée. Une micro ou petite entreprise peut néanmoins être soumise aux exigences fixées par le présent règlement en tant que détenteur de données, lorsqu’elle n’est pas le fabricant du produit ou un fournisseur de services connexes.
(38) Le présent règlement contient des règles ▌ applicables chaque fois qu’un détenteur de données est tenu, en vertu de la législation, de mettre des données à la disposition d’un destinataire de données. Cet accès devrait être fondé sur des conditions équitables, raisonnables, non discriminatoires et transparentes afin de garantir la cohérence des pratiques de partage de données dans le marché intérieur, y compris entre les secteurs, et d’encourager et de promouvoir des pratiques équitables de partage des données, même dans les domaines où un tel droit d’accès aux données n’est pas accordé. Ces règles générales d’accès ne s’appliquent pas aux obligations de mise à disposition de données prévues par le règlement (UE) 2016/679. Le partage volontaire de données n’est pas compromis par ces règles.
(39) Sur la base du principe de la liberté contractuelle, les parties devraient rester libres de négocier les conditions précises de mise à disposition de données dans leurs contrats, dans le cadre des règles générales d’accès pour la mise à disposition de données.
(40) Afin de garantir que les conditions d’accès obligatoire aux données soient équitables pour les deux parties, les règles générales relatives aux droits d’accès aux données devraient faire référence à la règle visant à éviter les clauses contractuelles abusives.
(41) Un accord conclu au sujet d’une mise à disposition de données ne devrait pas créer de discrimination entre différentes catégories comparables de destinataires de données, qu’il s’agisse de grandes entreprises ou de micro, petites et moyennes entreprises. Afin de compenser le manque d’informations sur les conditions des différents contrats, qui complique la tâche du destinataire des données s’agissant de déterminer si les conditions de mise à disposition des données sont non discriminatoires, il devrait incomber aux détenteurs de données de démontrer la nature non discriminatoire d’une clause contractuelle. La Commission, tout en associant toutes les parties prenantes concernées, devrait élaborer des lignes directrices pratiques sur les éléments constitutifs de conditions non discriminatoires. N’est pas constitutif d’une discrimination illicite le fait qu’un détenteur de données ait recours à des clauses contractuelles différentes pour la mise à disposition des données ▌ , si ces différences sont justifiées par des raisons objectives. Ces obligations sont sans préjudice du règlement (UE) 2016/679.
(42) Afin d’encourager la poursuite des investissements dans la production et la mise à disposition de données précieuses, y compris dans les outils techniques pertinents, le présent règlement consacre le principe selon lequel les détenteurs de données peuvent demander une compensation raisonnable lorsqu’ils sont légalement tenus de mettre des données à la disposition du destinataire des données dans les relations commerciales interentreprises. Ces dispositions ne doivent pas être interprétées comme prévoyant le paiement des données elles-mêmes, mais comme donnant aux détenteurs de données la possibilité d’être raisonnablement compensés de la mise à disposition de données ou, dans le cas des micro, petites et moyennes entrepriseset d’organismes de recherche utilisant les données dans un but non lucratif, des frais directs encourus et des investissements nécessaires pour mettre des données à disposition. La Commission devrait mettre au point des lignes directrices sur les éléments constitutifs d’une compensation raisonnable dans le cadre de l’économie fondée sur les données.
(42 bis) Cette compensation raisonnable peut, en premier lieu, englober les frais encourus et, sauf pour les micro et petites entreprises, les investissements nécessaires pour mettre des données à disposition. Ces coûts peuvent correspondre à des frais techniques, comme pour la reproduction, la diffusion par voie électronique et le stockage des données, mais pas pour la collecte ou la production des données. Les coûts techniques peuvent également prendre la forme de frais de traitements essentiels à la mise à disposition des données. Les coûts associés à la mise à disposition des données peuvent également inclure les frais visant à faciliter les demandes concrètes de partage de données. Ils peuvent aussi varier en fonction des modalités arrêtées pour la mise à disposition des données. Des accords à long terme entre les détenteurs de données et les destinataires de données, par exemple au moyen d’un modèle d’abonnement ou de l’utilisation de contrats intelligents, pourraient réduire les coûts lors de transactions régulières ou répétitives dans le cadre d’une relation commerciale. Les coûts liés à la mise à disposition des données peuvent être spécifiques à une demande particulière ou partagés avec d’autres demandes. Dans ce dernier cas, un destinataire de données unique ne devrait pas payer l’intégralité des frais relatifs à la mise à disposition des données. Une compensation raisonnable peut accessoirement inclure une marge, sauf pour les micro et petites entreprises. Celle-ci est susceptible de varier selon des facteurs en lien avec les données en elles-mêmes, comme leur volume, leur format ou leur nature, ou avec l’offre et la demande en matière de données. Elle peut tenir compte des coûts associés à la collecte des données. Une telle marge peut donc diminuer lorsque le détenteur de données a collecté celles-ci pour sa propre activité sans investissement important, ou augmenter s’il a beaucoup investi dans la collecte de données pour les besoins de son activité. La marge peut également dépendre de l’utilisation consécutive des données par le destinataire de données. Elle peut être limitée, voire exclue, dans les situations où l’utilisation des données par le destinataire de données n’a aucune véritable incidence sur les activités du détenteur de données. Si les données sont cogénérées par le biais d’un produit connecté appartenant l’utilisateur, cela pourrait également contribuer à réduire le montant de la compensation, comparativement à d’autres situations dans lesquelles les données sont uniquement générées par le détenteur des données, par exemple lors de la fourniture d’un service connexe.
(43) Dans des cas dûment justifiés, y compris la nécessité de préserver la participation des consommateurs et la concurrence ou de promouvoir l’innovation sur certains marchés, le droit de l’Union ou la législation nationale mettant en œuvre le droit de l’Union peut imposer une compensation réglementée pour la mise à disposition de types de données spécifiques.
(44) Afin de protéger les micro, petites et moyennes entreprises contre des charges économiques excessives qui les pénaliseraient trop sur le plan commercial pour élaborer et appliquer des modèles d’entreprise innovants, la compensation pour la mise à disposition de données à leur charge ne devrait pas dépasser le coût direct de cette mise à disposition et être non discriminatoire. Le même régime devrait s’appliquer aux organismes de recherche qui se servent de données à des fins non lucratives.
(45) Les coûts directs liés à la mise à disposition de données sont les frais encourus pour la reproduction, la diffusion par voie électronique et le stockage des données, mais pas pour la collecte ou la production des données. Les coûts directs liés à la mise à disposition de données devraient être limités à la part imputable aux demandes individuelles, compte tenu du fait que les interfaces techniques nécessaires ou les logiciels et la connectivité connexes devront être installés de manière permanente par le détenteur des données. Des accords à long terme entre les détenteurs de données et les destinataires des données, par exemple au moyen d’un modèle d’abonnement, pourraient réduire les coûts liés à la mise à disposition de données lors d’opérations régulières ou répétitives dans le cadre d’une relation commerciale. Le détenteur de données (à condition qu’il ne soit pas une PME) devrait communiquer volontairement le calcul prouvant que son prix est fondé sur les coûts dès lors qu’il sait, ou aurait dû savoir, que le cocontractant est une PME. Quel que soit le cas, il devrait préciser qu’il est dans l’obligation de mettre à disposition ces données à prix coûtant pour une PME et de communiquer, au besoin, des informations détaillées à ce sujet.
(46) Il n’est pas nécessaire d’intervenir en cas de partage de données entre grandes entreprises ou lorsque le détenteur des données est une petite ou moyenne entreprise et que le destinataire des données est une grande entreprise. Dans ces cas, les entreprises sont considérées comme capables de négocier toute compensation pour autant que celle-ci soit raisonnable, compte tenu d’éléments tels que le volume, le format, la nature, l’offre et la demande des données ainsi que les coûts liés à la collecte des données et à leur mise à disposition du destinataire des données. En cas d’utilisation abusive ou de divulgation de ces données, le destinataire de données est responsable des dommages causés à la partie lésée et se conforme dans les meilleurs délais aux demandes du détenteur de données.
(47) La transparence est un principe important pour garantir que la compensation demandée par le détenteur des données est raisonnable ou, si le destinataire des données est une PME, que la compensation n’excède pas les coûts directement liés à la mise à disposition des données au destinataire des données et est imputable à la demande individuelle. Afin de mettre les destinataires de données en mesure d’évaluer et de vérifier que la compensation satisfait aux exigences du présent règlement, le détenteur des données devrait fournir au destinataire des données les informations nécessaires au calcul de la compensation avec un degré de détail suffisant.
(48) Garantir l’accès à des modes de règlement extrajudiciaire des litiges nationaux et transfrontières liés à la mise à disposition de données devrait profiter aux détenteurs et aux destinataires de données et, partant, renforcer la confiance dans le partage des données. Dans les cas où les parties ne parviennent pas à s’entendre sur des conditions équitables, raisonnables et non discriminatoires de mise à disposition des données, les organismes de règlement des litiges devraient leur proposer une solution simple, rapide et peu coûteuse.
(49) Afin d’éviter que deux ou plusieurs organismes de règlement des litiges ne soient saisis du même litige, en particulier dans un contexte transfrontière, tout organisme de règlement des litiges devrait pouvoir rejeter une demande de règlement d’un litige qui a déjà été portée devant un autre organisme de règlement des litiges ou devant une cour ou un tribunal d’un État membre.
(50) Les parties à une procédure de règlement des litiges ne devraient pas être empêchées d’exercer leurs droits fondamentaux à un recours effectif et à accéder à un tribunal impartial. Par conséquent, la décision de saisir un organisme de règlement des litiges ne devrait pas priver ces parties de leur droit de demander réparation devant une juridiction d’un État membre. Les organismes de règlement des litiges rendent publics des rapports annuels d’activités.
(51) Lorsqu’une partie se trouve dans une position de négociation plus forte, il existe un risque que cette partie puisse exploiter cette position au détriment de l’autre partie contractante lors de la négociation de l’accès aux données et rendre l’accès aux données commercialement moins viable et parfois prohibitif sur le plan économique. Ces déséquilibres contractuels portent préjudice aux entreprises qui ne disposent pas d’une capacité importante pour négocier les conditions d’accès aux données et qui n’ont peut-être pas d’autre choix que d’accepter des clauses contractuelles «à prendre ou à laisser». Par conséquent, les clauses contractuelles abusives régissant l’accès aux données et leur utilisation ou la responsabilité et les voies de recours en cas de violation ou de résiliation des obligations liées aux données ne devraient pas être contraignantes pour les micro, petites et moyennes entreprises lorsqu’elles leur ont été imposées unilatéralement.
(52) Les règles relatives aux clauses contractuelles devraient tenir compte du principe de la liberté contractuelle en tant que concept essentiel dans les relations interentreprises. ▌ . Il s’agit des situations du type «à prendre ou à laisser» dans lesquelles une partie fournit une certaine clause contractuelle et où l’autre entreprise ne peut pas influencer le contenu de cette clause malgré une tentative de négociation. Une clause contractuelle qui est simplement fournie par une partie et acceptée par la partie adverse ou une clause négociée puis convenue sous forme modifiée entre les parties contractantes ne devrait pas être considérée comme imposée unilatéralement. Tous les accords contractuels respectent les principes FRAND (équitables, raisonnables et non discriminatoires).
(53) En outre, les règles relatives aux clauses contractuelles abusives ne devraient s’appliquer qu’aux éléments d’un contrat qui sont liés à la mise à disposition de données, à savoir les clauses contractuelles concernant l’accès aux données et leur utilisation, ainsi que la responsabilité ou les voies de recours en cas de violation et de résiliation des obligations relatives aux données. Les autres parties du même contrat, qui ne sont pas liées à la mise à disposition de données, ne devraient pas être soumises à l’appréciation du caractère abusif prévue par le présent règlement.
(54) Les critères permettant d’identifier les clauses contractuelles abusives ne devraient s’appliquer qu’aux clauses contractuelles excessives, en cas d’abus de pouvoir de négociation supérieur. La grande majorité des clauses contractuelles qui sont commercialement plus favorables à une partie qu’à l’autre, y compris celles qui sont normales dans les contrats interentreprises, sont une expression normale du principe de la liberté contractuelle et continuent de s’appliquer.
(55) Si une clause contractuelle n’est pas incluse dans la liste des clauses qui sont toujours considérées comme abusives ou présumées abusives, la disposition générale sur le caractère abusif s’applique. À cet égard, les clauses énumérées en tant que clauses abusives devraient servir de critère d’interprétation de la disposition générale relative au caractère abusif. Enfin, des clauses contractuelles types pour les contrats de partage de données interentreprises que la Commission doit élaborer et recommander peuvent également être utiles aux parties commerciales lorsqu’elles négocient des contrats.
(56) En cas de besoin exceptionnel, les organismes du secteur public ou les institutions, organes ou organismes de l’Union peuvent être contraints d’utiliser des données qu’une entreprise détient, qu’elle est en train de collecter ou qu’elle a précédemment obtenues, collectées ou générées d’une autre manière et qu’elle détient au moment de la demande, pour répondre à des urgences publiques ou dans d’autres cas exceptionnels. Les organismes exerçant une activité de recherche et les organisations finançant une activité de recherche pourraient aussi être organisés comme des organismes du secteur public ou des organismes de droit public. Afin de limiter la charge pesant sur les entreprises, les microentreprises et les petites entreprises devraient être exemptées de l’obligation de fournir des données aux organismes du secteur public et aux institutions, organes ou organismes de l’Union en cas de besoin exceptionnel.
(57) En cas de situations d’urgence publique, telles que les urgences de santé publique, les urgences résultant de la dégradation de l’environnement et les catastrophes naturelles majeures, y compris celles aggravées par le changement climatique, ainsi que les catastrophes majeures d’origine humaine, telles que les incidents majeurs de cybersécurité, l’intérêt public résultant de l’utilisation des données l’emportera sur l’intérêt des détenteurs de données à disposer librement des données qu’ils détiennent. Dans ce cas, les détenteurs de données devraient être tenus de les mettre à la disposition des organismes du secteur public ou des institutions, organes ou organismes de l’Union à leur demande sous réserve des conditions et autres garanties prévues par le présent règlement ou par d’autres dispositions du droit de l’Union ou du droit national. L’existence d’une urgence publique est déterminée conformément aux procédures respectives des États membres ou des organisations internationales compétentes.
(58) Un besoin exceptionnel peut également résulter de situations non urgentes lorsqu’un organisme du secteur public peut démontrer que les données sont nécessaires pour s’acquitter d’une mission spécifique d’intérêt public explicitement prévue et définie par le droit national, telle que la prévention ou l’aide au rétablissement à la suite d’une urgence publique. Une telle demande ne peut être présentée que lorsque ▌l’organisme du secteur public ou l’institution, organe ou organisme de l’Union a identifié des données spécifiques qui ne sont pas disponibles et qu’il a épuisé l’ensemble des trois autres moyens suivants pour obtenir les données: demander les données par la conclusion d’accords volontaires; acheter les données sur le marché ou invoquer les obligations existantes de mise à disposition des données.
(59) Le présent règlement ne devrait pas s’appliquer aux accords volontaires d’échange de données à caractère non personnel entre entités privées et publiques, ni s’y substituer. ▌ Il ne devrait pas non plus avoir d’incidence sur les exigences relatives à l’accès aux données visant à vérifier le respect des règles applicables, y compris dans les cas où des organismes du secteur public confient la tâche de vérification de la conformité à des entités autres que des organismes du secteur public.
(60) Pour l’exercice de leurs missions dans les domaines de la prévention et de la détection des infractions pénales et administratives, des enquêtes et des poursuites en la matière, de l’exécution de sanctions pénales et administratives, ainsi que de la collecte de données à des fins fiscales ou douanières, les organismes du secteur public et les institutions, organes et organismes de l’Union devraient faire valoir les pouvoirs qui leur sont conférés par la législation sectorielle. Le présent règlement ne porte donc pas atteinte aux instruments de partage, d’accès et d’utilisation des données dans ces domaines.
(61) Un cadre proportionné, limité et prévisible au niveau de l’Union est nécessaire pour que les détenteurs de données puissent, en cas de besoins exceptionnels, mettre les données à la disposition des organismes du secteur public et des institutions, organes ou organismes de l’Union, à la fois pour garantir la sécurité juridique et pour réduire au minimum les charges administratives pesant sur les entreprises. À cette fin, les demandes de données adressées par les organismes du secteur public et par les institutions, agences et organes de l’Union aux détenteurs de données devraient être fondées sur le droit de l’Union ou le droit national, spécifiques, transparentes et proportionnées en ce qui concerne leur portée et leur granularité. La finalité de la demande et l’utilisation prévue des données demandées devraient être spécifiques et clairement expliquées, tout en laissant à l’entité demandeuse une souplesse suffisante pour lui permettre d’accomplir ses missions d’intérêt public. La demande devrait également respecter les intérêts légitimes des entreprises auxquelles elle est adressée. La charge pesant sur les détenteurs de données devrait être réduite au minimum en obligeant les entités requérantes à respecter le principe «une fois pour toutes», qui empêche que les mêmes données soient demandées plus d’une fois par plus d’un organisme du secteur public ou plus d’une institution, d’un organe ou d’un organisme de l’Union lorsque ces données sont nécessaires pour répondre à une urgence publique. Dans un souci de transparence et de coordination appropriée, les demandes de données formulées par des organismes du secteur public et par des institutions, organes ou organismes de l’Union devraient être communiquées sans retard injustifié par l’entité qui demande les données au coordinateur de données de cet État membre qui devrait s’assurer que ces demandes soient reprises dans une liste mise à la disposition du public en ligne de toutes les demandes justifiées par un besoin exceptionnel.
(62) L’objectif de l’obligation de fournir les données est de faire en sorte que les organismes du secteur public et les institutions, organes ou organismes de l’Union disposent des connaissances nécessaires pour réagir à une urgence publique, prévenir une urgence publique ou contribuer au rétablissement à la suite d’une urgence publique, ou encore maintenir la capacité d’accomplir des missions spécifiques expressément prévues par la loi. Les données obtenues par ces entités peuvent être commercialement sensibles. Par conséquent, le règlement (EU) 2022/868 et la directive (UE) 2019/1024 du Parlement européen et du Conseil(19) ne devraient pas s’appliquer aux données mises à disposition au titre du présent règlement et ne devraient pas être considérés comme des données ouvertes disponibles en vue de leur réutilisation par des tiers. Cela ne devrait toutefois pas avoir d’incidence sur l’applicabilité de la directive (UE) 2019/1024 à la réutilisation de statistiques officielles pour la production desquelles les données obtenues en vertu du présent règlement ont été utilisées, à condition que la réutilisation ne comprenne pas les données sous-jacentes. Cela ne devrait pas non plus porter atteinte à la possibilité de partager les données à des fins de recherche ou pour l’établissement de statistiques officielles, pour autant que les conditions énoncées dans le présent règlement soient satisfaites. Lorsque le droit de l’Union ou le droit national le permet, les organismes du secteur public devraient être autorisés à échanger des données obtenues en vertu du présent règlement avec d’autres organismes du secteur public afin de répondre aux besoins exceptionnels pour lesquels les données ont été demandées, pour autant que le détenteur des données soit informé en temps utile, que tous les organismes respectent les mêmes règles de transparence que le demandeur initial des données et que la protection des secrets commerciaux et des droits de propriété intellectuelle soit assurée.
(63) Les détenteurs de données devraient avoir la possibilité de demander soit une modification de la demande présentée par un organisme du secteur public ou une institution, un organe ou un organisme de l’Union, soit son annulation dans un délai de 5 ou 15 jours ouvrables en fonction de la nature du besoin exceptionnel invoqué dans la demande. Dans le cas de demandes motivées par une urgence publique, une raison justifiée de ne pas mettre les données à disposition devrait exister s’il peut être démontré que la demande est similaire ou identique à une demande précédemment soumise pour la même finalité par un autre organisme du secteur public ou par une autre institution, un autre organisme ou un autre organe de l’Union, ou si le détenteur de données ne collecte pas, n’a pas collecté ou n’a pas précédemment collecté, obtenu ou généré d’une autre manière les données demandées et ne les conserve pas au moment de la demande. Un détenteur de données rejetant la demande ou demandant sa modification devrait communiquer à l’organisme du secteur public ou à l’institution, l’organe ou l’organisme de l’Union demandant les données la justification sous-jacente du refus de la demande. Si le droit sui generis lié à la base de données prévu par la directive 96/9/CE du Parlement européen et du Conseil(20) s’applique aux ensembles de données demandés, les détenteurs de données devraient exercer leur droit d’une manière qui n’empêche pas l’organisme du secteur public et les institutions, organes ou organismes de l’Union d’obtenir les données, ou de les partager, conformément au présent règlement.
▌
(65) Les données mises à la disposition des organismes du secteur public et des institutions, agences et organes de l’Union sur la base d’un besoin exceptionnel ne devraient être utilisées qu’aux fins pour lesquelles elles ont été demandées▌. Les données devraient être détruites dès lors qu’elles ne sont plus nécessaires à la finalité indiquée dans la demande, sauf accord contraire, et le détenteur des données devrait en être informé. Les organismes du secteur public et les institutions, organes et organismes de l’Union devraient veiller, y compris par l’application de mesures de sécurité proportionnées, le cas échéant conformément au droit de l’Union et au droit national, à ce que toute nature protégée des données soit préservée et à ce que tout accès non autorisé soit évité.
(66) Lors de la réutilisation des données fournies par les détenteurs de données, les organismes du secteur public et les institutions, organes ou organismes de l’Union devraient respecter à la fois la législation applicable en vigueur et les obligations contractuelles auxquelles le détenteur de données est soumis. Lorsque la divulgation de secrets d’affaires du détenteur de données à des organismes du secteur public ou à des institutions, organes ou organismes de l’Union est strictement nécessaire pour atteindre la finalité pour laquelle les données ont été demandées, la confidentialité de cette divulgation devrait être garantie à l’avance au détenteur des données ou au détenteur de secrets d’affaires, y compris, le cas échéant, par l’utilisation de clauses contractuelles types, par des normes techniques et par l’application de codes de conduite. Dans les cas où l’organisme du secteur public, l’institution, l’organe ou l’organisme de l’Union ou les tiers qui reçoivent les données pour exécuter les tâches qui leur ont été externalisées, ne mettent pas en œuvre ces mesures ou portent atteinte à la confidentialité des secrets d’affaires, le détenteur de données devrait pouvoir suspendre le partage de données identifiées comme secrets d’affaires. Une telle décision de suspendre le partage de données pourrait être contestée par l’organisme du secteur public, l’institution, l’agence ou l’organe de l’Union ou les tiers auxquels les données ont été transmises et être soumise à l’examen du coordinateur de données de l’État membre.
(67) Lorsque la sauvegarde d’un bien public important est en jeu, comme c’est le cas pour répondre à des urgences publiques, l’organisme du secteur public ou l’institution, l’agence ou l’organe de l’Union ne devrait pas être tenu d’indemniser les entreprises pour les données obtenues tant que la demande est limitée dans le temps et dans sa portée, proportionnellement à l’état d’urgence publique. Les urgences publiques sont des événements rares et toutes ces urgences ne nécessitent pas l’utilisation de données détenues par des entreprises. Le fait que les organismes du secteur public ou les institutions, organes ou organismes de l’Union font usage du présent règlement ne devrait donc pas avoir des répercussions négatives sur les activités commerciales des détenteurs de données. Toutefois, dans la mesure où un besoin exceptionnel autre que la réponse à une urgence publique peut être plus fréquent, y compris les cas de prévention ou de rétablissement d’une urgence publique, les détenteurs de données devraient, dans de tels cas, avoir droit à une indemnisation raisonnable. Le présent règlement ne devrait pas avoir d’incidence sur les arrangements existants de l’Union ou des États membres en vertu desquels les données sont partagées gratuitement, ni empêcher les organismes du secteur public, les institutions, organes ou organismes de l’Union et les détenteurs de données de conclure gratuitement des accords volontaires de partage de données.
(68) L’organisme du secteur public ou l’institution, l’agence ou l’organisme de l’Union peut partager les données qu’il a obtenues à la suite de la demande avec d’autres entités ou personnes lorsque cela est nécessaire pour mener des activités de recherche scientifique ou des activités d’analyse qu’il ne peut pas réaliser lui-même, à condition que ces activités soient strictement nécessaires pour répondre à un besoin urgent. Elle informe le détenteur de données de ce partage en temps utile. Ces données peuvent également être partagées dans les mêmes conditions avec les instituts nationaux de statistique et Eurostat pour l’établissement de statistiques officielles. Ces activités de recherche devraient toutefois être compatibles avec la finalité pour laquelle les données ont été demandées et le détenteur des données devrait être informé du partage ultérieur des données qu’il a fournies. Les personnes menant des activités de recherche ou les organismes de recherche avec lesquels ces données peuvent être partagées devraient agir soit dans un but non lucratif, soit dans le cadre d’une mission d’intérêt public reconnue par l’État. Les organismes sur lesquels des entreprises commerciales ou publiques ont une influence déterminante leur permettant d’exercer un contrôle en raison d’éléments structurels, ce qui pourrait conduire à un accès préférentiel aux résultats des recherches, ne devraient pas être considérés comme des organismes de recherche aux fins du présent règlement.
(69) La capacité des clients de services de traitement de données, y compris de services en nuage et de services à la périphérie, de passer d’un service de traitement de données à un autre, tout en évitant l’interruption des services, ou d’utiliser simultanément les services de plusieurs fournisseurs sans frais excessifs de transfert de données, est une condition essentielle pour un marché plus concurrentiel, avec des barrières à l’entrée moins élevées pour les nouveaux fournisseurs de services, et pour garantir une plus grande résilience aux utilisateurs de ces services. Les garanties d’un changement effectif de fournisseur devraient aussi concerner les clients bénéficiant d’offres gratuites à grande échelle, afin d’éviter de créer chez les clients une situation de dépendance. Faciliter une approche multinuage pour les clients des services de traitement des données peut également contribuer à accroître leur résilience opérationnelle numérique, comme le reconnaît, pour les institutions de services financiers, le règlement sur la résilience opérationnelle numérique du secteur financier (DORA).
(69 bis) Les frais de changement de fournisseur sont ceux imposés par les fournisseurs d’informatique en nuage à leurs clients pour le processus de changement. En général, ces frais sont destinés à répercuter les coûts que le fournisseur de services d’origine peut encourir en raison du processus de changement de fournisseur, sur le client qui souhaite changer de fournisseur. Les frais courants de changement de fournisseur sont, par exemple, les frais liés au transfert des données d’un fournisseur à l’autre ou à un système sur site («frais de sortie») ou les frais encourus pour des actions de soutien spécifiques pendant le processus de changement. Les «frais de sortie» inutilement élevés ou les frais injustifiés non liés à des coûts réels de changement sont un frein au changement pour les clients, restreignent la libre circulation des données, peuvent restreindre la concurrence et provoquer des effets de dépendance pour les clients des services de traitement des données, en réduisant les mesures incitant à choisir un fournisseur de services différent ou supplémentaire. En raison des nouvelles obligations prévues par le présent règlement, le fournisseur de services de traitement des données d’origine pourrait externaliser certaines tâches et rémunérer des entités tierces afin de se conformer à ces obligations. Le client ne supporte pas les coûts liés à l’externalisation de services conclus par le fournisseur de services de traitement des données d’origine au cours de la procédure de changement de fournisseur et ces coûts sont considérés comme injustifiés. Rien dans la loi sur les données n’empêche un client de rémunérer des entités tierces pour un soutien dans le processus de migration. Les frais de sortie sont facturés aux clients par les fournisseurs de services de traitement des données d’origine lorsqu’ils souhaitent faire sortir leurs données du réseau d’un fournisseur de services en nuage vers un emplacement externe, notamment lorsqu’ils passent d’un fournisseur à un ou plusieurs fournisseurs de destination, pour déplacer leurs données d’un emplacement à un autre tout en utilisant le même fournisseur de services en nuage. Par conséquent, afin d’encourager la concurrence, le retrait progressif des frais associés au changement de service de traitement des données comprendra spécifiquement le retrait des «frais de sortie» facturés par le service de traitement de données à un client.
(70) Le règlement (UE) 2018/1807 du Parlement européen et du Conseil encourage ▌les fournisseurs de services de traitement de données à élaborer et à mettre en œuvre de manière efficace des codes de conduite par autorégulation couvrant les meilleures pratiques pour faciliter, entre autres, le changement de fournisseur de services de traitement de données ▌et le portage des données. Compte tenu de l’adoption limitée des cadres d’autorégulation mis au point à cette fin et de l’indisponibilité générale de normes et d’interfaces ouvertes, il est nécessaire d’adopter un ensemble d’obligations réglementaires minimales pour les fournisseurs de services de traitement de données afin d’éliminer les obstacles contractuels, commerciaux, organisationnels, économiques et techniques, lesquels ne se limitent pas aux entraves à la vitesse de transfert des données lors du désengagement du client, qui freinent le passage effectif d’un service de traitement de données à un autre.
(71) Les services de traitement de données devraient couvrir les services qui permettent un accès universel et à la demande par réseau à un ensemble partagé, configurable, modulable et variable de ▌ressources informatiques distribuées. Ces ressources informatiques comprennent des ressources telles que les réseaux, serveurs ou autres infrastructures virtuelles ou physiques ▌, les logiciels, y compris les outils de développement de logiciels, le stockage, les applications et les services. Les modèles de déploiement des services de traitement des données devraient inclure le nuage privé et public. Ces services et modèles de déploiement devraient être les mêmes que ceux définis dans les normes internationales. La capacité du client du service de traitement de données de s’autofournir unilatéralement des capacités informatiques, comme du temps de serveur ou du stockage en réseau, sans aucune intervention humaine de la part du fournisseur de services de traitement de données pourrait être décrite comme exigeant un minimum d’efforts de gestion et d’interaction entre le fournisseur et le client. Le terme «universel» est utilisé pour décrire le fait que les capacités de calcul sont fournies sur le réseau et que l’accès à celles-ci se fait par des mécanismes encourageant le recours à des plateformes clients légères ou lourdes disparates (des navigateurs web aux appareils mobiles et aux postes de travail). Le terme «modulable» renvoie aux ressources informatiques qui sont attribuées d’une manière souple par le fournisseur de services de traitement des données, indépendamment de la localisation géographique de ces ressources, pour gérer les fluctuations de la demande. Les termes «ensemble variable ▌» sont utilisés pour décrire les ressources informatiques qui sont mobilisées et libérées en fonction de la demande pour pouvoir augmenter ou réduire rapidement les ressources disponibles en fonction de la charge de travail. Les termes «pouvant être partagées» sont utilisés pour décrire les ressources informatiques qui sont mises à disposition de nombreux utilisateurs qui partagent un accès commun au service, le traitement étant effectué séparément pour chaque utilisateur bien que le service soit fourni à partir du même équipement électronique. Le terme «distribué» est utilisé pour décrire les ressources informatiques qui se trouvent sur des ordinateurs ou des appareils en réseau différents, qui communiquent et se coordonnent par transmission de messages. Le terme «fortement distribué» est utilisé pour décrire les services de traitement de données qui impliquent un traitement de données plus proche du lieu où les données sont générées ou collectées, par exemple dans un dispositif de traitement de données connecté. Le traitement de données à la périphérie, qui est une forme de traitement de données fortement distribué, devrait générer de nouveaux modèles d’entreprise et de fourniture de services en nuage, qui devraient être ouverts et interopérables dès le départ Les services numériques considérés comme constituant une plateforme en ligne telle que définie à l’article 3, point i), du règlement (législation sur les services numériques) et un service de contenu en ligne au sens de l’article 2, point 5, du règlement (UE) 2017/1128 du Parlement européen et du Conseil(21) ne devraient pas être considérés comme des «services de traitement des données» au sens du présent règlement.
(71 bis) Les services de traitement des données relèvent d’un ou de plusieurs des trois modèles de fourniture de services de traitement des données suivants: IaaS (infrastructure à la demande), PaaS (plateforme à la demande) et SaaS (logiciel à la demande). Ces modèles de fourniture de services représentent une combinaison spécifique de ressources informatiques proposées par un fournisseur de services de traitement de données. Les trois modèles de base de fourniture d’informatique en nuage sont complétés par de nouvelles variantes, chacune comprenant une combinaison distincte de ressources informatiques, telles que le «stockage à la demande» et la «base de données à la demande». Aux fins du présent règlement, les services de traitement de données peuvent être classés en une multiplicité plus détaillée et non exhaustive de différents «services équivalents», c’est-à-dire des ensembles de services de traitement de données qui partagent le même objectif principal et les mêmes fonctionnalités principales ainsi que le même type de modèles de traitement de données, qui ne sont pas liés aux caractéristiques opérationnelles du service. Par exemple, deux bases de données peuvent sembler partager le même objectif principal, mais après examen de leur modèle de traitement des données, de leur modèle de distribution et de leur cas d’utilisation ciblé, ces bases de données relèvent d’une sous-catégorie plus précise de services équivalents. Des services équivalents peuvent présenter des caractéristiques différentes et concurrentes, telles que la performance, la sécurité, la résilience et la qualité du service.
(71 ter) L’extraction des données qui appartiennent au client auprès du fournisseur de services de traitement des données d’origine reste l’une des entraves au rétablissement des fonctionnalités du service dans l’infrastructure du fournisseur de destination. Afin de planifier correctement la stratégie de désengagement, d’éviter des tâches inutiles et lourdes et de veiller à ce que le client ne perde aucune de ses données à la suite de la procédure de changement de fournisseur, le fournisseur de services de traitement des données d’origine inclut dans le contrat les informations obligatoires sur l’étendue des données qui peuvent être exportées par le client une fois qu’il décide de passer à un autre service, à un autre fournisseur de services de traitement de données ou à une infrastructure TIC sur site. Les données exportables devraient comprendre au minimum les données d’entrée et de sortie, y compris les formats de données pertinents, les structures de données et les métadonnées directement ou indirectement générées ou cogénérées par l’utilisation du service de traitement des données par le client, et qui peuvent être clairement attribuées au client. Les données exportables devraient exclure tout service de traitement de données, les biens de tiers ou les données protégées par des droits de propriété intellectuelle ou constituant un secret d’affaires ou des informations confidentielles, telles que les données liées à l’intégrité et à la sécurité du service fourni par le service de traitement de données, et devraient également exclure les données utilisées par le fournisseur pour exploiter, entretenir et améliorer le service.
(72) Le présent règlement vise à faciliter le passage d’un service de traitement de données à un autre, ce qui englobe toutes les conditions et actions pertinentes qui sont nécessaires pour qu’un client résilie un accord contractuel relatif à un service de traitement de données, conclue un ou plusieurs nouveaux contrats avec différents fournisseurs de services de traitement de données, transmette tous ses actifs numériques, y compris les données, aux autres fournisseurs concernés et continue à les utiliser dans le nouvel environnement et à bénéficier de l’équivalence fonctionnelle. Il convient de noter que les services de traitement des données couverts par le champ d’application sont ceux pour lesquels le service de traitement des données au sens du présent règlement relève de l’activité principale du fournisseur. Les actifs numériques désignent les éléments en format numérique pour lesquels le client a le droit d’utilisation, y compris les données, les applications, les machines virtuelles et d’autres réalisations des technologies de virtualisation, telles que la conteneurisation. Le changement est une opération orientée vers le client, qui consiste en trois grandes étapes, à savoir i) l’extraction de données, c’est-à-dire le téléchargement de données à partir de l’écosystème d’un fournisseur d’origine; ii) la transformation, lorsque les données sont structurées d’une manière qui ne correspond pas au schéma de l’emplacement cible; et iii) le chargement des données dans un nouvel emplacement de destination. Dans une situation particulière décrite dans le présent règlement, la dissociation d’un service donné du contrat et son transfert vers un autre fournisseur sont également considérés comme un changement de fournisseur. Le processus de changement de fournisseur est parfois géré pour le compte du client par une entité tierce. En conséquence, tous les droits et obligations du client établis par le présent règlement, y compris l’obligation de collaborer de bonne foi, devraient être compris comme s’appliquant à une telle entité tierce dans ces circonstances. Les fournisseurs de services en nuage et les clients ont différents niveaux de responsabilités, selon les étapes du processus auquel ils se réfèrent. Par exemple, le fournisseur de services de traitement des données d’origine est responsable de l’extraction des données dans un format lisible par machine, mais c’est le client et le fournisseur de destination qui téléchargeront les données dans le nouvel environnement, sauf en cas de recours à un service spécifique de transition professionnel. Les obstacles au changement sont de nature différente, selon l’étape du processus de changement à laquelle ils se rapportent. Par équivalence fonctionnelle, on entend la possibilité de rétablir, sur la base des données du client, un niveau minimal de fonctionnalité d’un service dans l’environnement d’un nouveau service de traitement de données après le changement de fournisseur, lorsque le service de destination donne un résultat comparable en réponse au même intrant pour la fonctionnalité partagée fournie au client en vertu de l’accord contractuel. Les différents services ne peuvent obtenir une équivalence fonctionnelle que pour les fonctionnalités centrales partagées, lorsque les fournisseurs de services d’origine et de destination offrent de manière indépendante les mêmes fonctionnalités de base. Le règlement ne prévoit pas d’obligation de faciliter l’équivalence fonctionnelle pour les services de traitement des données du modèle de fourniture PaaS ou SaaS. Les métadonnées pertinentes générées par l’utilisation d’un service par le client devraient également être portables conformément aux dispositions du présent règlement relatives au changement de fournisseur et relèvent de la définition des «données exportables». Les services de traitement des données sont utilisés dans tous les secteurs et varient en complexité et en type de service. Il s’agit d’une considération importante en ce qui concerne le processus de portage et les délais.
(72 bis) Il est nécessaire d’adopter une approche réglementaire de l’interopérabilité ambitieuse et propice à l’innovation, afin de remédier à la dépendance à l’égard des fournisseurs, qui nuit à la concurrence et au développement de nouveaux services. L’interopérabilité entre des services de traitement des données équivalents requiert de multiples interfaces, couches d’infrastructures et couches de logiciels, et se limite rarement à un test binaire visant à évaluer la faisabilité ou l’impossibilité. Au lieu de cela, la mise en œuvre d’une telle interopérabilité est soumise à une analyse coûts/avantages, nécessaire pour déterminer s’il est utile de chercher à obtenir des résultats raisonnablement prévisibles. La norme ISO/CEI 19941:2017 est une référence importante pour la réalisation des objectifs du présent règlement, car elle contient des considérations techniques clarifiant la complexité d’un tel processus.
(73) Lorsque les fournisseurs de services de traitement de données sont à leur tour clients de services de traitement de données fournis par un prestataire tiers, ils bénéficieront eux-mêmes d’un changement de fournisseur plus efficace, tout en étant immanquablement liés par les obligations du présent règlement en ce qui concerne leurs propres offres de services.
(74) Les fournisseurs de services de traitement de données devraient être tenus de ne pas imposer d’obstacles et de supprimer tous les obstacles y afférents et d’offrir toute l’assistance et le soutien, dans les limites de leur capacité et en proportion de leurs obligations respectives, afin de garantir la réussite, la sécurité et l’efficacité du processus de changement de fournisseur. Le présent règlement n’impose pas aux fournisseurs de services de traitement de données de développer de nouvelles catégories de services de traitement de données, y compris au sein ou sur la base de l’infrastructure informatique de différents fournisseurs de services de traitement de données, afin de garantir l’équivalence fonctionnelle dans un environnement autre que leurs propres systèmes. Le fournisseur de services de traitement de données d’origine n’ayant pas accès à l’environnement du fournisseur de services de traitement de données de destination et ne disposant pas d’informations sur cet environnement, il ne devrait pas être tenu de rétablir le service du client, conformément aux exigences d’équivalence fonctionnelle, au sein de l’infrastructure du fournisseur de destination. Le fournisseur d’origine devrait en revanche prendre toutes les mesures raisonnables en son pouvoir pour faciliter le processus de réalisation de l’équivalence fonctionnelle en fournissant des capacités, des informations, une documentation, une assistance technique adéquates et, le cas échéant, les outils nécessaires. Les informations que les fournisseurs de services de traitement des données doivent donner aux clients devraient appuyer l’élaboration de la stratégie de désengagement des clients et devraient comprendre les procédures à suivre pour initier le changement de fournisseur du service d’informatique en nuage, les formats de données lisibles par machine vers lesquels les données de l’utilisateur peuvent être exportées, les outils, dont au moins une interface standard ouverte de portabilité des données, prévus pour exporter les données, les restrictions et les limites techniques connues qui pourraient influer sur le processus de changement de fournisseur, et le temps considéré comme nécessaire pour achever ledit processus. Le contrat écrit définissant les droits du client et les obligations du fournisseur de services d’informatique en nuage ne devrait couvrir que les informations dont dispose le fournisseur de services de traitement de données au moment de la conclusion du contrat. Cela ne devrait pas porter atteinte aux droits existants en matière de résiliation des contrats, y compris ceux introduits par le règlement (UE) 2016/679 et la directive (UE) 2019/770 du Parlement européen et du Conseil(22). Toute période obligatoire en vertu du présent règlement ne devrait pas porter atteinte au respect d’autres échéances fixées par la législation sectorielle. Le chapitre VI du présent règlement ne devrait pas être interprété comme empêchant un prestataire de services de traitement de données de fournir à ses clients des nouveautés et des améliorations dans les services, les caractéristiques et les fonctionnalités ou de concurrencer d’autres fournisseurs de services de traitement de données sur cette base.
(75) Afin de faciliter le passage d’un service de traitement de données à l’autre, les fournisseurs de services de traitement de données devraient envisager l’utilisation d’outils de mise en œuvre et/ou de contrôle de la conformité, notamment ceux publiés par la Commission sous la forme d’un corpus réglementaire relatif aux services en nuage. Les clauses contractuelles types, en particulier, contribuent à accroître la confiance dans les services de traitement de données, à créer une relation plus équilibrée entre les utilisateurs et les fournisseurs de services de traitement de données et à améliorer la sécurité juridique quant aux conditions applicables au passage à d’autres services de traitement de données. Dans ce contexte, les utilisateurs et les fournisseurs de services de traitement de données devraient envisager l’utilisation de clauses contractuelles types élaborées par des organismes ou groupes d’experts compétents établis en vertu du droit de l’Union.
(75 bis) Afin de faciliter le passage d’un service d’informatique en nuage à un autre, toutes les parties concernées, y compris les fournisseurs de services de traitement des données d’origine et de destination, devraient collaborer de bonne foi en vue de permettre un processus efficace de changement de fournisseur et le transfert sécurisé et en temps utile des données nécessaires dans un format couramment utilisé, lisible par machine, et au moyen d’une interface standard ouverte de portabilité des données, et d’éviter les perturbations du service.
(75 ter) Les services de traitement des données qui concernent les services qui ont été fortement modifiés pour répondre aux besoins spécifiques d’un client (conception sur mesure), ou les services de traitement des données exploités à titre d’essai ou qui proposent uniquement un service d’essai et d’évaluation pour les offres de produits commerciaux, devraient être exemptés de certaines obligations applicables au passage d’un service de traitement des données à un autre.
(75 quater) Sans préjudice de leur droit de former un recours devant un tribunal, les clients devraient avoir accès à des organismes certifiés de règlement des différends pour régler les différends liés au changement de fournisseurs de services de traitement des données.
(76) Les spécifications et les normes d’interopérabilité et de portabilité ouvertes élaborées conformément à l’annexe II, paragraphes 3 et 4, du règlement (UE) nº 1025/2012 du Parlement européen et du Conseil(23) dans le domaine de l’interopérabilité et de la portabilité permettent un environnement en nuage multifournisseur▌, qui est une exigence essentielle pour l’innovation ouverte dans l’économie européenne fondée sur les données. Étant donné que les processus axés sur le marché n’ont pas démontré la capacité d’établir des spécifications techniques ou des normes qui facilitent une interopérabilité et une portabilité effectives des services d’informatique en nuage au niveau des plateformes à la demande (PaaS) et des logiciels à la demande (SaaS), la Commission devrait pouvoir, lorsque cela est techniquement possible, sur la base du présent règlement et conformément au règlement (UE) nº 1025/2012, demander aux organismes européens de normalisation de définir de telles normes pour les services équivalents pour lesquels ces normes n’existent pas encore. La Commission encouragera en outre les acteurs du marché à élaborer des spécifications d’interopérabilité et de portabilité ouvertes pertinentes. Après consultation des parties prenantes et en tenant compte des normes internationales et européennes pertinentes ainsi que des initiatives d’autorégulation, la Commission peut, au moyen d’actes délégués, rendre obligatoire l’utilisation de normes européennes d’interopérabilité et de portabilité ou de spécifications d’interopérabilité et de portabilité ouvertes pour des services équivalents spécifiques par une référence dans un répertoire central des normes de l’Union pour l’interopérabilité des services de traitement des données. Les fournisseurs de services de traitement des données devraient assurer la compatibilité avec ces normes et spécifications d’interopérabilité et de portabilité, en tenant compte de la nature, de la sécurité et de l’intégrité des données qu’ils hébergent. Les normes européennes pour l’interopérabilité et la portabilité des services de traitement des données et les spécifications d’interopérabilité ouvertes ne seront référencées que si elles sont conformes aux critères spécifiés dans le présent règlement, qui ont la même signification que les exigences énoncées aux paragraphes 3 et 4 de l’annexe II du règlement (UE) nº 1025/2012 et les facettes d’interopérabilité définies dans la norme ISO/CEI 19941: 2017.
(77) Les pays tiers peuvent adopter des lois, des règlements et d’autres actes législatifs visant à obtenir un transfert direct de données à caractère non personnel situées en dehors de leur territoire, y compris dans l’Union, ou à donner à leurs pouvoirs publics un accès direct à ces données. Les décisions de juridictions ou d’autres autorités judiciaires ou administratives, y compris de services répressifs, de pays tiers qui exigent un tel transfert ou accès concernant des données à caractère non personnel devraient être exécutoires lorsqu’elles sont fondées sur un accord international, tel qu’un traité d’entraide judiciaire, en vigueur entre le pays tiers demandeur et l’Union ou un État membre. Dans d’autres cas, il peut arriver qu’une demande de transfert de données à caractère non personnel ou d’accès à de telles données fondée sur le droit d’un pays tiers soit incompatible avec l’obligation de protéger ces données en vertu du droit de l’Union ou du droit national, en particulier lorsqu’il s’agit de protéger les droits fondamentaux de la personne, tels que le droit à la sécurité et le droit à un recours effectif, ou les intérêts fondamentaux d’un État membre en matière de sécurité ou de défense nationale, ainsi que des données commercialement sensibles, notamment des secrets d’affaires, ou des droits de propriété intellectuelle, y compris les engagements contractuels en matière de confidentialité conformément à ce droit. En l’absence d’accords internationaux régissant ces questions, il convient de n’autoriser le transfert ou l’accès que s’il a été vérifié qu’en vertu du système juridique du pays tiers, les motifs et la proportionnalité de la décision doivent être exposés, la décision judiciaire ou administrative doit avoir un caractère spécifique, et l’objection motivée du destinataire doit faire l’objet d’un contrôle par une juridiction compétente du pays tiers habilitée à tenir dûment compte des intérêts juridiques pertinents du fournisseur des données. Dans la mesure du possible selon les termes de la demande d’accès aux données de l’autorité du pays tiers, le fournisseur de services de traitement de données devrait être en mesure d’informer le consommateur dont les données sont demandées afin de vérifier l’existence d’un conflit potentiel entre cet accès et les règles de l’Union ou nationales, telles que celles relatives à la protection des données commercialement sensibles, y compris la protection des secrets d’affaires et des droits de propriété intellectuelle et les engagements contractuels en matière de confidentialité.
(78) Afin de renforcer encore la confiance placée dans les données, il importe de mettre en œuvre des garanties, pour les citoyens, le secteur public et les entreprises de l’Union, qui leur permettent dans toute la mesure du possible de contrôler leurs données. En outre, le droit, les valeurs et les normes de l’Union devraient être respectés en termes de sécurité, de protection des données et de respect de la vie privée, ainsi que de protection des consommateurs (mais pas exclusivement). Afin de prévenir tout accès illicite aux données à caractère non personnel, les fournisseurs de service de traitement des données soumis à cet instrument, tels que les services d’informatique en nuage et en périphérie, devraient prendre toute mesure raisonnable pour empêcher l’accès aux systèmes dans lesquels sont stockées des données à caractère non personnel, y compris, s’il y a lieu, par le cryptage des données, la sujétion régulière à des audits, le respect vérifié de dispositifs de certification pertinents en matière de réassurance de sécurité et une modification de leurs politiques d’entreprise.
(79) La normalisation et l’interopérabilité sémantique et syntaxique devraient jouer un rôle essentiel dans l’apport de solutions techniques permettant de garantir la portabilité et l’interopérabilité. Afin de faciliter la conformité avec les exigences en matière d’interopérabilité au sein des espaces européens communs des données qui sont spécifiques pour chaque finalité ou chaque secteur ou transsectoriels, il y a lieu de développer des cadres interopérables de normes et de pratiques communes visant à partager ou à traiter conjointement des données en vue, entre autres, de la mise au point de nouveaux produits et services, de la recherche scientifique ou d’initiatives de la société civile. Le présent règlement fixe certaines exigences essentielles en matière d’interopérabilité. Les participants au sein des espaces de données, qui sont des entités facilitant ou participant au partage de données au sein des espaces européens communs des données, y compris les détenteurs de données, devraient se conformer à ces exigences. Le respect de ces règles peut se faire en adhérant aux exigences fixées dans le présent règlement ou en s’adaptant aux normes déjà existantes au moyen d’une présomption de conformité. Afin de faciliter la conformité avec les exigences en matière d’interopérabilité, il est nécessaire de prévoir une présomption de conformité pour les solutions d’interopérabilité qui satisfont à des normes harmonisées ou à des parties de celles-ci conformément au règlement (UE) nº 1025/2012▌. Les normes devraient être élaborées de manière ouverte, neutre sur le plan technologique et inclusive, conformément au chapitre II du règlement (UE) nº 1025/2012. Compte tenu, le cas échéant, des positions adoptées par le comité européen de l’innovation dans le domaine des données conformément à l’article 30, point f), du règlement (UE) 2022/868, la Commission devrait ▌adopter des spécifications communes dans les domaines où il n’existe pas de normes harmonisées ou qui sont insuffisantes pour renforcer encore l’interopérabilité des espaces européens communs des données, des interfaces de programmation d’application, du changement de fournisseur de services en nuage et des contrats intelligents. En outre, il restera peut-être à adopter, conformément au droit sectoriel de l’Union ou national, des spécifications communes dans les différents secteurs, en fonction des besoins spécifiques de ces derniers. Il serait envisageable que fassent également partie des spécifications techniques de l’interopérabilité sémantique des structures et modèles de données réutilisables (sous la forme de vocabulaires de base), des ontologies, un profil d’application des métadonnées, des données de référence sous la forme d’un vocabulaire de base, des taxinomies, des listes de codes, des tables d’autorité et des thésaurus. Après consultation des parties prenantes et en tenant compte des normes internationales et européennes pertinentes ainsi que des initiatives d’autorégulation, le cas échéant, et des positions adoptées par le comité européen de l’innovation dans le domaine des données, telles que visées à l’article 30, point f), du règlement (UE) 2022/868, la Commission devrait par ailleurs être habilitée à adopter des spécifications communes dans les domaines où il n’existe pas de normes harmonisées et à demander l’élaboration de normes harmonisées pour la portabilité et l’interopérabilité des services de traitement des données. Le comité européen de l’innovation dans le domaine des données devrait s’appuyer sur les initiatives européennes et mondiales existantes en matière d’interopérabilité transsectorielle des données. En particulier, le comité européen de l’innovation dans le domaine des données devrait étudier le potentiel du cadre relatif à l’identité numérique des objets tel qu’établi par le règlement (UE) nº 910/2014 et les systèmes d’identification des entités juridiques comme la GLEIF à cette fin.
(79 bis) Afin de renforcer encore la coordination dans le cadre de l’application du présent règlement, le comité européen de l’innovation dans le domaine des données devrait favoriser l’échange réciproque d’informations entre les autorités compétentes et conseiller et assister la Commission sur les questions relevant du présent règlement qui relèvent des compétences de l’article 30 du règlement (UE) 2022/868. Un sous-groupe pour la participation des parties prenantes visé à l’article 29, paragraphe 2, point c), dudit règlement devrait participer à la consultation de manière continue.
(80) Afin de promouvoir l’interopérabilité des contrats intelligents dans les applications de partage de données, il pourrait être nécessaire de définir les exigences essentielles des contrats intelligents à l’intention des professionnels qui en créent pour d’autres ou qui en intègrent dans des applications soutenant la mise en œuvre d’accords de partage de données. Par exemple, les contrats intelligents devraient garantir le respect des conditions de partage des données. Il convient de promouvoir des programmes de formation spécifiques aux contrats intelligents destinés aux entreprises, en particulier les PME.
(81) Afin d’assurer une mise en œuvre efficace du présent règlement, les États membres devraient désigner une ou plusieurs autorités compétentes et les doter de ressources suffisantes. Si un État membre désigne plusieurs autorités compétentes, il devrait également désigner une autorité compétente coordonnatrice. Les autorités compétentes devraient coopérer efficacement et en temps utile, conformément aux principes de bonne administration et d’assistance mutuelle, afin de garantir la mise en œuvre et l’application effectives du présent règlement. Les autorités chargées de contrôler le respect de la protection des données et les autorités compétentes désignées en vertu de la législation sectorielle devraient être responsables de l’application du présent règlement dans leurs domaines de compétence. Les autorités compétentes devraient coopérer à la demande des autorités au sein du comité européen de la protection des données et du comité européen de l’innovation dans le domaine des données.
(81 bis) Afin de renforcer encore la coordination dans le cadre de l’application du présent règlement, le comité européen de l’innovation dans le domaine des données devrait favoriser l’échange réciproque d’informations entre les autorités compétentes et conseiller et assister la Commission sur les questions relevant du présent règlement en se concentrant tout particulièrement sur les questions qui relèvent des compétences du comité en vertu de l’article 30 du règlement (UE) 2022/868.
(82) Pour faire valoir leurs droits au titre du présent règlement, les personnes physiques et morales devraient pouvoir demander réparation des violations desdits droits en déposant plainte auprès du coordinateur de données, d’autres autorités compétentes concernées et devant les tribunaux. Les autorités compétentes devraient être tenues de coopérer de manière à garantir un traitement et un règlement appropriés de la plainte rapidement et efficacement. Afin de recourir au mécanisme du réseau de coopération en matière de protection des consommateurs et de permettre des actions représentatives, le présent règlement modifie les annexes du règlement (UE) 2017/2394 du Parlement européen et du Conseil(24) et de la directive (UE) 2020/1828 du Parlement européen et du Conseil(25).
(83) Les autorités compétentes des États membres devraient veiller à ce que les manquements aux obligations prévues par le présent règlement soient frappés de sanctions. Ce faisant, elles devraient tenir compte de la nature, de la gravité, de l’éventuelle récurrence et de la durée du manquement au regard de l’intérêt public en jeu, de la portée et du type d’activités exercées, ainsi que de la capacité économique de l’auteur du manquement. Si l’auteur du manquement manque systématiquement ou de façon récurrente aux obligations qui lui incombent en vertu du présent règlement, elles devraient en tenir compte. Afin d’aider les entreprises à rédiger et à négocier des contrats, la Commission devrait élaborer et recommander des clauses contractuelles types non contraignantes pour les contrats de partage de données interentreprises, en tenant compte, si nécessaire, des conditions prévalant dans certains secteurs et des pratiques existantes en matière de mécanismes de partage volontaire de données. Ces clauses contractuelles types devraient avant tout constituer un outil pratique aidant en particulier les petites entreprises à conclure un contrat. Lorsqu’elles seront largement et intégralement utilisées, elles devraient également avoir pour effet bénéfique d’influencer la manière dont sont conçus les contrats relatifs à l’accès aux données et à l’utilisation des données et conduire ainsi plus généralement à des relations contractuelles plus équitables en termes d’accès aux données et de partage des données.
(84) Afin d’éliminer le risque que les détenteurs de bases de données contenant des données obtenues ou générées au moyen de composants physiques tels que des capteurs, d’un produit connecté ou d’un service connexe, à savoir des données générées par des machines, invoquent le droit «sui generis» prévu par l’article 7 de la directive 96/9/CE, le présent règlement précise que le droit «sui generis» ne s’applique pas à ces bases de données, parce que les conditions de la protection d’un investissement substantiel dans l’obtention, la vérification ou la présentation des données tel que prévu par l’article 7, paragraphe 1, de la directive 96/9/CE ne seraient pas remplies. Cela ne porte pas atteinte à la potentielle application du droit «sui generis» prévu par l’article 7 de la directive 96/9/CE aux bases de données contenant des données ne relevant pas du champ d’application du présent règlement à condition que les conditions de la protection conformément à l’article 7, paragraphe 1, de cette directive soient remplies.
(85) Afin de tenir compte des aspects techniques des services de traitement de données, il conviendrait de déléguer à la Commission le pouvoir d’adopter des actes, conformément à l’article 290 du traité sur le fonctionnement de l’Union européenne en vue de compléter le présent règlement, par l’introduction d’un mécanisme de suivi des frais de changement de fournisseur imposés par les fournisseurs de services de traitement de données sur le marché, de préciser davantage les exigences essentielles en matière d’interopérabilité imposées aux participants d’espaces de données qui proposent des données ou des services de données à d’autres participants, et aux fournisseurs de services de traitement des données et de publier la référence des spécifications d’interopérabilité ouvertes et des normes européennes pour l’interopérabilité des services de traitement des données. Il importe particulièrement que la Commission procède aux consultations appropriées durant ses travaux préparatoires, y compris au niveau des experts, et que ces consultations soient menées conformément aux principes définis dans l’accord interinstitutionnel du 13 avril 2016 «Mieux légiférer»(26). En particulier, aux fins de leur égale participation à la préparation des actes délégués, le Parlement européen et le Conseil reçoivent tous les documents au même moment que les experts des États membres, et leurs experts ont systématiquement accès aux réunions des groupes d’experts de la Commission associés à la préparation des actes délégués.
(86) Afin de garantir des conditions uniformes de mise en œuvre du présent règlement, il conviendrait de conférer des compétences d’exécution à la Commission en vue de compléter le présent règlement par l’adoption de spécifications communes pour l’interopérabilité des espaces européens communs de données et du partage des données, le changement de fournisseur de services de traitement des données, les contrats intelligents et l’interopérabilité des contrats intelligents ainsi que de moyens techniques tels que les interfaces de programmation, la transmission de données entre parties, y compris en continu ou en temps réel, et les vocabulaires de base de l’interopérabilité sémantique. Ces compétences devraient être exercées conformément au règlement (UE) nº 182/2011 du Parlement européen et du Conseil(27).
(87) Le présent règlement ne devrait pas porter atteinte aux dispositions spécifiques des actes de l’Union qui ont été adoptés avant sa propre date d’adoption dans le domaine du partage de données entre entreprises, entre entreprises et consommateurs et entre entreprises et organismes du secteur public. Afin de garantir la cohérence et le bon fonctionnement du marché intérieur, la Commission devrait, s’il y a lieu, évaluer l’articulation du présent règlement et des actes réglementant le partage des données qui ont été adoptés avant la date d’adoption du présent règlement, afin d’apprécier la nécessité d’aligner les dispositions spécifiques de ces actes sur le présent règlement. Le présent règlement devrait s’entendre sans préjudice des règles répondant à des besoins spécifiques à certains secteurs ou domaines d’intérêt public. Ces règles peuvent comprendre des exigences supplémentaires concernant les aspects techniques de l’accès aux données, tels que les interfaces d’accès aux données, ou la manière dont l’accès aux données pourrait être fourni, par exemple directement à partir du produit ou par l’intermédiaire de services d’intermédiation de données. Ces règles peuvent également inclure des limites aux droits des détenteurs de données d’accéder aux données des utilisateurs ou de les utiliser, ou d’autres aspects allant au-delà de l’accès aux données et de leur utilisation, tels que les aspects liés à la gouvernance. Le présent règlement devrait également s’entendre sans préjudice de règles plus spécifiques dans le cadre du développement d’espaces européens communs de données.
(88) Le présent règlement ne devrait pas avoir d’incidence sur l’application des règles de concurrence, en particulier les articles 101 et 102 du traité. Les mesures prévues dans le présent règlement ne devraient pas servir à restreindre la concurrence d’une manière contraire au traité.
(89) Afin de permettre aux acteurs économiques de s’adapter aux nouvelles règles énoncées dans le présent règlement et de mettre en place les aménagements techniques nécessaires, celles-ci devraient s’appliquer 18 mois après l’entrée en vigueur du règlement. Les obligations liées à la fourniture des services connexes fournis pour les produits connectés déjà mis sur le marché au cours des cinq dernières années à compter de l’entrée en vigueur du présent règlement ne devraient s’appliquer rétroactivement que lorsque le détenteur de données et le fabricant sont une seule et même entité. De telles obligations ne devraient être remplies que lorsque le fournisseur de services connexes est en mesure de déployer à distance des mécanismes pour faire en sorte que les exigences visées à l’article 1er soient remplies et uniquement lorsque le déploiement de tels mécanismes ne ferait pas peser de charge disproportionnée sur le fabricant.
(90) Le Contrôleur européen de la protection des données et le comité européen de la protection des données ont été consultés conformément à l’article 42 du règlement (UE) 2018/1725 et ont rendu leur avis le [XX XX 2022],
ONT ADOPTÉ LE PRÉSENT RÈGLEMENT:
CHAPITRE I
DISPOSITIONS GÉNÉRALES
Article premier
Objet et champ d’application
1. Le présent règlement établit des règles harmonisées concernant:
a) la conception de produits connectés afin de permettre l’accès aux données générées par un produit connecté ou générées lors de la fourniture de services connexes à l’utilisateur de ce produit;
b) les détenteurs de données qui mettent à disposition des données auxquelles ils ont eu accès depuis un produit connecté ou qu’ils ont générées lors de la fourniture d’un service connexe à des personnes concernées, des utilisateurs ou à des destinataires de données, à la demande de l’utilisateur ou de la personne concernée;
c) les conditions contractuelles équitables pour les accords de partage de données;
d) la mise à disposition de données à des organismes du secteur public ou à des institutions, organes ou organismes de l’Union, en cas de besoin exceptionnel d’intérêt public:
e) la facilitation du passage d’un service de traitement des données à un autre;
f) l’introduction de garanties contre l’accès gouvernemental international illicite aux données à caractère non personnel; et
g) l’élaboration de normes d’interopérabilité et de spécifications communes pour les données à transférer et à utiliser.
1 bis. Le présent règlement s’applique aux données à caractère personnel et non personnel, y compris les types de données ci-après ou dans les contextes suivants:
a) le chapitre II s’applique aux données accessibles obtenues, recueillies ou générées d’une autre manière par des produits connectés ou générées au cours de la fourniture de services connexes;
b) le chapitre III s’applique à toute donnée du secteur privé visée par des obligations légales de partage des données;
c) le chapitre IV s’applique à toutes les données du secteur privé auxquelles il est accédé et qui sont utilisées en vertu d’accords contractuels interentreprises;
d) le chapitre V s’applique à toute donnée à caractère non personnel du secteur privé;
e) le chapitre VI s’applique à toute donnée et à tout service traités par des services de traitement des données;
f) le chapitre VII s’applique à toute donnée à caractère non personnel détenue dans l’Union par des fournisseurs de services de traitement des données.
2. Le présent règlement s’applique:
a) aux fabricants de produits connectés et aux prestataires de services connexes mis sur le marché de l’Union quel que soit leur lieu d’établissement et aux utilisateurs de ces produits connectés ou services connexesou, dans le cas de données à caractère personnel, à une personne physique identifiée ou identifiable à laquelle les données obtenues, recueillies ou générées par l’utilisation de ces produits ou services connexes se rapportent;
b) aux utilisateurs de produits connectés ou de services connexes dans l’Union et aux détenteurs de données, quel que soit leur lieu d’établissement, qui mettent des données à la disposition de destinataires de données dans l’Union ou, dans le cas de données à caractère personnel, aux personnes physiques identifiées ou identifiables auxquelles les données obtenues, recueillies ou générées par l’utilisation de ces produits ou services connexes se rapportent;
c) aux destinataires de données dans l’Union à la disposition desquels sont mises des données;
d) aux organismes du secteur public d’un État membre et aux institutions, organes et organismes de l’Union qui demandent aux détenteurs de données de rendre des données disponibles lorsqu’il existe un besoin exceptionnel de disposer de ces données pour exécuter une mission spécifique d’intérêt public, ainsi qu’aux détenteurs de données qui fournissent ces données en réponse à une telle demande;
e) aux prestataires de services de traitement de données, quel que soit leur lieu d’établissement, offrant de tels services à des clients dans l’Union.
3. Le droit de l’Union relatif à la protection des données à caractère personnel, de la vie privée et de la confidentialité des communications et de l’intégrité des équipements terminaux s’applique à toute donnée à caractère personnel traitée en lien avec les droits et obligations énoncés dans le présent règlement. L’obtention, le recueil ou la production de données à caractère personnel par l’utilisation d’un produit ou d’un service connexe requièrent une base juridique en vertu de la législation applicable en matière de protection des données. Le présent règlement ne constitue pas une base juridique pour le traitement de données à caractère personnel. Le présent règlement est sans préjudice du droit de l’Union sur la protection des données à caractère personnel et de la vie privée, en particulier le règlement (UE) 2016/679, le règlement (UE) 2018/1725, et la directive 2002/58/CE, y compris les règles concernant les pouvoirs et compétences des autorités de contrôle. En cas de conflit entre le présent règlement et le droit de l’Union en matière de protection des données à caractère personnel et de la vie privée ou le droit national adopté conformément audit droit de l’Union, le droit de l’Union ou le droit national applicable relatif à la protection des données à caractère personnel et à la vie privée prime. En ce qui concerne les droits énoncés au chapitre II du présent règlement, et lorsque les utilisateurs sont les personnes concernées par des données à caractère personnel soumises aux droits et obligations énoncées dans ledit chapitre, les dispositions du présent règlement complètent et précisent le droit à la portabilité des données prévu à l’article 20 du règlement (UE) 2016/679. Aucune disposition du présent règlement ne s’applique ni n’est interprétée de manière à réduire ou à limiter le droit à la protection des données à caractère personnel ou le droit à la vie privée et à la confidentialité des communications.
4. Le présent règlement n’a pas d’incidence sur les actes juridiques de l’Union et nationaux prévoyant l’accès aux données, leur partage et leur utilisation à des fins de prévention et de détection des infractions pénales ou administratives, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales ou administratives, y compris le règlement (UE) 2021/784 du Parlement européen et du Conseil(28) et les [propositions sur les preuves électroniques COM (2018) 225 et 226] une fois adoptées, ni sur la coopération internationale dans ce domaine. Le présent règlement n’affecte ni la collecte et le partage de données, ni l’accès à ces dernières et leur utilisation au titre de la directive (UE) 2015/849 du Parlement européen et du Conseil relative à la prévention de l’utilisation du système financier aux fins du blanchiment de capitaux et du financement du terrorisme et du règlement (UE) 2015/847 du Parlement européen et du Conseil sur les informations accompagnant le transfert de fonds. Le présent règlement ne porte pas atteinte aux compétences des États membres en ce qui concerne les activités relatives à la sécurité publique, à la défense, à la sécurité nationale, aux douanes et à l’administration fiscale, ainsi qu’à la santé publique et à la sécurité des citoyens conformément au droit de l’Union. Le présent règlement ne s’applique pas aux données recueillies ou générées dans le cadre d’activités liées à la défense ou par des produits ou services relatifs à la défense ou par des produits ou services déployés et utilisés à des fins de défense.
4 bis. Le présent règlement complète, sans porter atteinte à son applicabilité, le droit de l’Union visant à promouvoir les intérêts des consommateurs et à assurer un niveau élevé de protection de ces derniers, à protéger leur santé, leur sécurité et leurs intérêts économiques, y compris les directives 2005/29/CE, 2011/83/UE et 93/13/CEE.
4 ter. Les détenteurs de données ne sont pas tenus de donner accès aux données à une personne physique ou morale, à une entité ou à un organisme en dehors de l’Union, sauf à la demande de l’utilisateur ou disposition contraire du droit de l’Union ou des législations nationales mettant en œuvre le droit de l’Union.
4 quater. Les obligations énoncées dans le règlement ne font pas obstacle au partage réciproque volontaire et licite de données à caractère non personnel entre les utilisateurs, les détenteurs de données et les destinataires de données, prévu dans des contrats.
Article 2
Définitions
Aux fins du présent règlement, on entend par:
1) «données»: toute représentation numérique d’actes, de faits ou d’informations et toute compilation de ces actes, faits ou informations, notamment sous la forme d’enregistrements sonores, visuels ou audiovisuels; le contenu, ou les données obtenues, générées ou collectées par le produit connecté ou qui lui sont transmises pour le compte d’autrui à des fins de stockage ou de traitement, ne sont pas couverts par le présent règlement;
1 bis) «données à caractère personnel»: les données à caractère personnel telles que définies à l’article 4, point 1), du règlement (UE) 2016/679;
1 ter) «données à caractère non personnel»: les données autres que les données à caractère personnel;
1 quater) «consentement»: le consentement au sens de l’article 4, point 11), du règlement (UE) 2016/679;
1 quinquies) «personne concernée»: la personne concernée au sens de l’article 4, point 1), du règlement (UE) 2016/679;
1 sexies) «utilisateur de données»: une personne physique ou morale qui dispose d’un accès licite à certaines données à caractère personnel ou non personnel et qui a le droit de les utiliser à des fins commerciales ou non commerciales;
2) «produit connecté»: un bien▌qui obtient, génère ou collecte des données accessibles relatives à son utilisation ou à son environnement, qui est en mesure de communiquer des données par l’intermédiaire d’un service de communications électroniques, d’une connexion physique ou d’un dispositif d’accès intégré et dont la fonction première n’est pas de stocker, de traiter ou de transmettre des données pour le compte d’autrui;
3) «service connexe»: un service numérique, y compris un logiciel, mais à l’exclusion des services de communications électroniques, qui est interconnecté avec un produit de telle sorte que son absence empêcherait le produit d’exécuter une ou plusieurs de ses fonctions, et qui implique que le fournisseur ou le service ait accès aux données depuis le produit connecté;
4) «assistants virtuels»: des logiciels capables de traiter des demandes, des tâches ou des questions, notamment celles reposant sur des données d’entrée sonores ou écrites, ou des gestes ou des mouvements, et qui, sur la base de ces demandes, tâches ou questions, permettent d’accéder à d’autres services ou contrôlent les fonctions des produits;
4 bis) «consommateur»: toute personne physique qui agit à des fins qui n’entrent pas dans le cadre de son activité commerciale, industrielle, artisanale ou libérale;
5) «utilisateur»: une personne physique ou morale qui possède un produit connecté ou reçoit un service connexe ou à qui le propriétaire d’un produit connecté a cédé, sur la base d’un contrat de location ou de crédit-bail, des droits temporaires d’utilisation d’un produit connecté ou de réception de services connexes et, lorsque le produit connecté ou le service connexe implique le traitement de données à caractère personnel, la personne concernée;
6) «détenteur de données», une personne morale ou une personne physique qui a accédé à des données à partir du produit connecté ou qui a généré des données lors de la fourniture d’un service connexe et qui a le droit contractuel d’utiliser ces données, ainsi que l’obligation, conformément au présent règlement, au droit de l’Union applicable ou à la législation nationale mettant en œuvre le droit de l’Union, de mettre certaines données à la disposition de l’utilisateur ou d’un destinataire de données;
7) «destinataire de données»: une personne physique ou morale ▌autre que l’utilisateur d’un produit connecté ou d’un service connexe, à la disposition de laquelle un détenteur de données met des données consultées à partir d’un produit connecté ou générées lors de la fourniture d’un service connexe à la suite d’une demande explicite de l’utilisateur ▌ou conformément à une obligation légale découlant du droit de l’Union ou de la législation nationale mettant en œuvre le droit de l’Union;
8) «entreprise»: une personne physique ou morale qui, en ce qui concerne les contrats et pratiques relevant du présent règlement, agit à des fins liées à son activité commerciale, industrielle, artisanale ou libérale;
9) «organismes du secteur public»: les autorités nationales, régionales ou locales des États membres et les organismes de droit public des États membres ou les associations formées par une ou plusieurs de ces autorités ou un ou plusieurs de ces organismes;
10) «urgence publique»: une situation exceptionnelle d’une durée limitée telle que les urgences de santé publique, les urgences résultant de catastrophes naturelles et les catastrophes majeures d’origine humaine, y compris les incidents majeurs de cybersécurité, ayant une incidence négative sur la population de l’Union, d’un État membre ou d’une partie de celui-ci, entraînant un risque de répercussions graves et durables sur les conditions de vie ou la stabilité économique, la stabilité financière, ou la détérioration substantielle et immédiate d’actifs économiques dans l’Union ou les États membres concernés, et qui est déterminée et officiellement déclarée selon les procédures respectives prévues par le droit de l’Union ou le droit national;
10 bis) «statistiques officielles»: les «statistiques européennes» au sens du règlement (CE) nº 223/2009(29);
11) «traitement»: toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliqués à des données ou à des ensembles de données sous forme électronique, telles que la collecte, l’enregistrement, l’organisation, la structuration, le stockage, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction;
12) «service de traitement des données»: un service numérique autre qu’un service de contenu en ligne au sens de l’article 2, point 5, du règlement (UE) 2017/1128, fourni à un client, qui permet la gestion à la demande et un large accès à distance à un ensemble modulable et variable de ressources informatiques pouvant être partagées de nature centralisée, distribuée ou fortement distribuée;
13) «type de service»: un ensemble de services de traitement de données qui partagent le même objectif principal et le même modèle fondamental de service de traitement des données;
14) «équivalence fonctionnelle»: le maintien d’un niveau minimal de fonctionnalité dans l’environnement d’un nouveau service de traitement de données après le changement de fournisseur, de sorte que, lorsque l’utilisateur effectue une action d’entrée sur des éléments essentiels du service, le service de destination fournit le même résultat, aux mêmes niveaux de performance, de sécurité, de résilience opérationnelle et de qualité de service que le service d’origine au moment de la résiliation du contrat;
15) «normes ouvertes», les spécifications techniques ▌qui sont orientées vers les performances et la réalisation de l’interopérabilité entre les services de traitement de données et qui sont adoptées au moyen d’un processus inclusif, collaboratif, consensuel et transparent, dont les parties concernées et les parties intéressées ne peuvent être exclues;
▌
18) «spécifications communes»: un document, autre qu’une norme, contenant des solutions techniques qui permettent de satisfaire à certaines exigences et obligations établies en vertu du présent règlement;
19) «interopérabilité»: la capacité d’au moins deux services fondés sur les données, notamment espaces de données ou réseaux de communication, systèmes, produits, applications ou composants, de traiter, d’échanger et d’utiliser des données afin de remplir leurs fonctions de manière exacte, efficace et cohérente;
19 bis) «portabilité»: la capacité d’un client à transférer des données importées ou directement générées qui peuvent être clairement attribuées au client entre son propre système et ses services en nuage, ainsi qu’entre les services en nuage de différents fournisseurs de services en nuage;
20) «norme harmonisée»: une norme harmonisée au sens de l’article 2, point 1 c), du règlement (UE) nº 1025/2012;
20 bis) «espaces européens communs des données»: des cadres interopérables spécifiques pour chaque finalité ou chaque secteur ou transsectoriels de normes et de pratiques communes visant à partager ou à traiter conjointement des données en vue, entre autres, de la mise au point de nouveaux produits et services, de la recherche scientifique ou d’initiatives de la société civile;
20 ter) «métadonnées»: une description structurée du contenu de l’utilisation des données qui aide à les retrouver et à les utiliser;
20 quater) «service d’intermédiation de données»: le service d’intermédiation de données visé à l’article 2, point (8), du règlement (UE) 2022/868;
20 quinquies) «altruisme en matière de données»: le partage volontaire de données tel que défini à l’article 2, paragraphe 16, du règlement (UE) 2022/868;
20 sexies) «secrets d’affaires»: informations répondant à toutes les exigences de l’article 2, point 1), de la directive (UE) 2016/943;
20 septies) «détenteur de secrets d’affaires» doit s’entendre au sens de l’article 2, point 2), de la directive (UE) 2016/943.
CHAPITRE II
PARTAGE DE DONNÉES ENTRE ENTREPRISES ET CONSOMMATEURS ET INTERENTREPRISES
Article 3
Obligation de rendre accessibles à l’utilisateur les données consultées depuis des produits connectés ou générées lors de la fourniture de services connexes.
1. Les produits connectés sont conçus et fabriqués de manière à ce que les données qu’ils collectent, génèrent ou obtiennent d’une autre manière, qui sont accessibles aux détenteurs de données ou aux destinataires de données, soient, par défaut, gratuites pour l’utilisateur et accessibles facilement, de manière sécurisée et, lorsque cela est pertinent et techniquement possible, directement à celui-ci, dans un format complet, structuré, couramment utilisé et lisible par machine. Les données sont disponibles dans leur format initial, à savoir celui dans lequel elles ont été collectées, obtenues ou générées par le produit connecté, avec pour seule adaptation le minimum nécessaire pour permettre leur utilisation par un tiers, y compris en ce qui concerne les métadonnées afférentes essentielles à l’interprétation et à l’utilisation des données. Les informations dérivées ou déduites de ces données au moyen d’algorithmes propriétaires complexes, en particulier lorsqu’elles combinent les données issues de plusieurs capteurs dans le produit connecté, ne sont pas prises en compte dans le champ d’application de l’obligation du détenteur de données de partager des données avec des utilisateurs ou des destinataires de données, à moins qu’il n’en soit convenu autrement entre l’utilisateur et le détenteur de données. Dans le cas où l’utilisateur est une personne concernée, les produits connectés offrent la possibilité d’exercer directement les droits des personnes concernées, lorsque cela est techniquement possible. Les produits connectés sont conçus et fabriqués de manière à offrir aux personnes concernées, quel que soit leur titre juridique sur le produit connecté, la possibilité d’utiliser les produits couverts par le présent règlement de la manière la moins intrusive possible pour la vie privée. Le respect des exigences énoncées au premier alinéa est obtenu sans restreindre la fonctionnalité du produit connecté et des services connexes et conformément aux exigences en matière de sécurité des données prévues par le droit de l’Union.
1 bis. Les détenteurs de données peuvent rejeter une demande de données si l’accès aux données est interdit par le droit de l’Union ou le droit national.
2. Avant la conclusion d’un contrat relatif à l’achat d’un produit connecté, le fabricant, ou, le cas échéant, le vendeur, fournit à l’utilisateur ▌, de manière simple et dans un format clair et compréhensible, des informations concernant au moins les informations suivantes:
a) le type de données, le format, la fréquence d’échantillonnage, la capacité de stockage intégrée du dispositif et le volume estimé de données accessibles que le produit connecté est capable de collecter, de générer ou d’obtenir d’une autre manière;
b) si le produit connecté est capable de générer des données en continu et en temps réel;
b bis) si les données seront stockées sur un appareil ou sur un serveur distant, y compris la période pendant laquelle elles sont stockées;
c) la manière dont l’utilisateur peut accéder gratuitement à ces données, et, le cas échéant, les récupérer et en demander la suppression;
c bis) les moyens techniques d’accès aux données, tels que les kits de développement logiciel ou les interfaces de programmation d’applications, ainsi que leurs conditions d’utilisation et leur qualité de service, doivent être suffisamment décrits pour permettre le développement de ces moyens d’accès;
c ter) si le détenteur de données est le détenteur de secrets d’affaires ou d’autres droits de propriété intellectuelle liés aux données auxquelles le produit connecté est susceptible d’avoir accès ou qui sont susceptibles d’être générées lors de la fourniture du service connexe, et, si ce n’est pas le cas, l’identité du détenteur de secrets d’affaires, telle que sa raison sociale et l’adresse géographique à laquelle il est établi.
▌
2 bis. Les services connexes sont fournis de manière à ce que les données générées au cours de leur fourniture, qui correspondent à la numérisation des actions ou des événements de l’utilisateur, soient gratuites pour l’utilisateur et, par défaut, soient accessibles facilement, de manière sécurisée, et, lorsque cela est pertinent et techniquement possible, directement à l’utilisateur dans un format structuré, couramment utilisé et lisible par machine, de même que les métadonnées pertinentes nécessaires pour les interpréter et les utiliser.
2 ter. Avant la conclusion par l’utilisateur d’un accord avec un fournisseur de services connexes qui implique que le fournisseur ait accès aux données du produit connecté, conformément à l’article 4, paragraphe 6, du présent règlement, l’accord porte sur:
a) la nature, le volume, la fréquence de collecte et le format des données accessibles au fournisseur de services connexes à partir du produit connecté et, le cas échéant, les modalités permettant à l’utilisateur d’accéder à ces données ou de les extraire, y compris la période pendant laquelle elles sont stockées;
b) la nature et le volume estimé des données générées au cours de la fourniture du service connexe, ainsi que les modalités permettant à l’utilisateur d’accéder à ces données ou de les extraire;
c) des options de consentement granulaires et significatives pour le traitement des données au sens de l’article 4, point 11, du règlement (UE) 2016/679;
d) si le fournisseur de services fournissant le service connexe, en sa qualité de détenteur de données, a l’intention d’utiliser lui-même les données accessibles à partir du produit connecté ou de permettre à un ou plusieurs tiers d’utiliser les données à des fins convenues avec l’utilisateur;
e) la raison sociale du prestataire du service connexe, son identifiant d’entité juridique, ses coordonnées et l’adresse géographique à laquelle il est établi; et, le cas échéant, d’autres parties au traitement des données;
f) le cas échéant, les moyens de communication permettant à l’utilisateur de contacter rapidement le fournisseur et de communiquer efficacement avec son personnel;
g) la manière dont l’utilisateur peut demander que les données soient partagées avec un destinataire de données et, le cas échéant, retirer son consentement au partage des données;
h) si le détenteur de données est le détenteur de secrets d’affaires ou d’autres droits de propriété intellectuelle liés aux données auxquelles le produit connecté est susceptible d’avoir accès ou qui sont susceptibles d’être générées lors de la fourniture du service connexe, et, si ce n’est pas le cas, l’identité du détenteur de secrets d’affaires, telle que sa raison sociale, son identifiant d’entité juridique et l’adresse géographique à laquelle il est établi;
i) la manière dont l’utilisateur peut gérer les autorisations pour permettre l’utilisation de ses données, comprenant si possible des options d’autorisation par niveau, y compris l’option de retirer cette autorisation à un détenteur de données ou aux tiers désignés par un détenteur de données, ou pour exclure des adresses géographiques;
j) la durée de l’accord entre l’utilisateur et le fournisseur du service connexe, ainsi que les modalités de résiliation prématurée de ce contrat; ainsi que la durée prévue de l’accord et la période minimale pendant laquelle il est garanti que le service connexe recevra des mises à jour fonctionnelles et de sécurité;
k) le droit de l’utilisateur d’introduire une plainte pour violation des dispositions du présent chapitre auprès du coordinateur des données visé à l’article 31.
Article 3 bis
Littératie des données
1. Lors de la mise en œuvre du présent règlement, l’Union et les États membres favorisent les mesures et les outils permettant de développer la littératie des données, dans l’ensemble des secteurs et en tenant compte des différents besoins des groupes d’utilisateurs, de consommateurs et d’entreprises, notamment au moyen de programmes d’éducation et de formation, de qualification et de reconversion, tout en assurant un équilibre approprié entre les hommes et les femmes et entre les tranches d’âge, afin de permettre une société et un marché des données équitables.
Article 4
Droits et obligations des utilisateurs et des détenteurs de données d’accéder aux données accessibles depuis des produits connectés ou générées lors de la fourniture de services connexes, de les utiliser et de les rendre disponibles
1. Lorsque l’utilisateur ne peut pas accéder directement à des données à partir du produit, les détenteurs de données mettent à sa disposition toutes les données auxquelles ils ont accédé depuis un produit connecté ou générées lors de la fourniture d’un service connexe, dans les meilleurs délais, facilement, de manière sécurisée, dans un format complet, structuré, couramment utilisé et lisible par machine, gratuitement et, lorsque c’est pertinent et techniquement possible, en continu et en temps réel, y compris en rendant accessible à la personne concernée toutes les données personnelles dérivées de ces données, conformément à l’article 15 du règlement (UE) 2016/679, accompagnées des métadonnées concernées. Les données conservent leur format initial, à savoir celui dans lequel le produit connecté a eu accès à elles ou celui dans lequel elles ont été générées par le service connexe, avec pour seule adaptation le minimum nécessaire pour permettre leur utilisation par un tiers, y compris en ce qui concerne les métadonnées afférentes essentielles à l’interprétation et à l’utilisation des données. Les informations dérivées ou déduites de ces données au moyen d’algorithmes propriétaires complexes, en particulier lorsqu’elles combinent les données issues de plusieurs capteurs dans le produit connecté, ne sont pas prises en compte dans le champ d’application de l’obligation du détenteur de données de partager des données avec des utilisateurs ou des destinataires de données, à moins qu’il n’en soit convenu autrement entre l’utilisateur et le détenteur de données. Toute demande d’accès à des données adressée à un détenteur de données devrait être faite sur la base d’une simple demande par voie électronique lorsque cela est techniquement possible et, le cas échéant, indiquer le type, la nature ou la portée des données demandées.
1 bis. Les détenteurs de données peuvent rejeter une demande de données si l’accès aux données est interdit par le droit de l’Union ou le droit national.
1 ter. Les utilisateurs et les détenteurs de données peuvent convenir contractuellement de restreindre ou d’interdire l’accès, l’utilisation ou le partage ultérieur des données qui pourraient porter atteinte à la sécurité du produit telle que prévue par la loi. Chaque partie peut saisir le coordinateur des données afin d’évaluer si une telle restriction est justifiée, notamment à la lumière de graves effets indésirables sur la santé, la sûreté ou la sécurité des êtres humains. Les autorités sectorielles compétentes auront la possibilité de fournir une expertise technique dans ce contexte.
1 quater. Lorsqu’il se conforme à toutes les dispositions établies dans le présent règlement et aux modalités et conditions convenues dans l’accord contractuel entre les parties, un détenteur de données n’est pas responsable à l’égard de l’utilisateur d’éventuels dommages résultant des données mises à disposition, à condition que le détenteur de données ait traité les données de manière licite conformément au droit de l’Union et au droit national et qu’il ait respecté les exigences applicables en matière de cybersécurité et, le cas échéant, les mesures techniques et organisationnelles visant à préserver la confidentialité des données partagées. Lorsqu’il se conforme au présent règlement, un utilisateur qui met licitement à la disposition d’un tiers les données accessibles à partir du produit connecté ou obtenues à la suite d’une demande effectuée au titre de l’article 4, paragraphe 1, ou un destinataire de données qui partage légalement avec un tiers des données mises à sa disposition par un détenteur de données n’est pas responsable des dommages résultant du partage de ces données, à condition que l’utilisateur ou le destinataire des données ait traité les données conformément au droit de l’Union et au droit national et qu’il ait respecté les exigences applicables en matière de cybersécurité et, le cas échéant, les mesures techniques et organisationnelles visant à préserver la confidentialité des données partagées.
1 quinquies. Les détenteurs de données ne rendent pas excessivement difficile l’exercice des droits ou des choix des utilisateurs, y compris en offrant des choix aux utilisateurs d’une manière non neutre ou en nuisant ou en portant atteinte à l’autonomie, à la prise de décision ou au libre choix de l’utilisateur par la structure, la conception, la fonction ou le mode de fonctionnement d’une interface utilisateur ou d’une partie de celle-ci.
2. Les détenteurs de données n’exigent pas de l’utilisateur qu’il fournisse d’autres informations que celles qui sont nécessaires pour vérifier sa qualité d’utilisateur en application du paragraphe 1. Les détenteurs de données ne conservent aucune autre information sur l’accès de l’utilisateur aux données demandées que celles qui sont nécessaires à la bonne exécution de la demande d’accès de l’utilisateur et à la sécurité et à la maintenance de l’infrastructure de données. Lorsque l’identification est légalement requise, les détenteurs de données permettent aux utilisateurs de s’identifier et de s’authentifier au moyen des portefeuilles européens d’identité numérique, conformément au règlement (UE) nº 910/2014.
3. Les secrets d’affaires sont préservés et ne sont divulgués qu’à condition que toutes les mesures spécifiques nécessaires au titre de la directive (UE) 2016/943 soient prises à l’avance pour préserver leur confidentialité, en particulier en ce qui concerne les tiers. Le détenteur de données, ou le détenteur de secrets d’affaires s’il n’est pas le détenteur de données, recense les données protégées en tant que secrets d’affaires et peut convenir avec l’utilisateur de mesures techniques et organisationnelles visant à préserver la confidentialité des données partagées, en particulier en ce qui concerne les tiers, ainsi que de dispositions en matière de responsabilité. Ces mesures techniques et organisationnelles comprennent, le cas échéant, des clauses contractuelles types, des accords confidentiels, des protocoles d’accès stricts, des normes techniques et l’application de codes de conduite. Lorsque l’utilisateur ne met pas en œuvre ces mesures ou met en péril la confidentialité des secrets d’affaires, le détenteur de données peut suspendre le partage de données reconnues comme secrets d’affaires. Dans de tels cas, le détenteur de données doit immédiatement signaler au coordinateur de données de l’État membre dans lequel il est établi, conformément à l’article 31 du présent règlement, qu’il a suspendu le partage des données, et repérer les mesures qui n’ont pas été mises en œuvre ou les secrets d’affaires dont la confidentialité a été mise en péril. Si l’utilisateur souhaite contester la décision du détenteur de données de suspendre le partage des données, le coordinateur de données décide, dans un délai raisonnable, si le partage des données doit reprendre et, si oui, sous quelles conditions.
4. L’utilisateur ne se sert pas des données obtenues en réponse à une demande visée au paragraphe 1 pour mettre au point un produit concurrençant directement le produit dont proviennent les données et il n’utilise pas ces données pour obtenir des informations sur la situation économique, les actifs ou les méthodes de production du fabricant.
4 bis. L’utilisateur s’abstient d’avoir recours à des moyens coercitifs ou de tirer avantage de lacunes de l’infrastructure technique d’un détenteur de données, destinée à protéger ces dernières, en vue d’obtenir l’accès à celles-ci.
4 ter. Les utilisateurs ont le droit de partager, soit directement, soit par l’intermédiaire d’un détenteur de données ou de prestataires de services d’intermédiation de données tels que définis dans le règlement (UE) 2022/868, des données à caractère non personnel accessibles depuis le produit connecté ou obtenues en réponse à une demande visée au paragraphe 1 avec tout destinataire de données à des fins commerciales ou non commerciales. Le partage de données entre un utilisateur et un destinataire de données s’effectue au moyen d’accords contractuels; les dispositions du chapitre IV relatives à des conditions équitables, raisonnables et non discriminatoires s’appliquent mutatis mutandis aux accords contractuels entre les utilisateurs et les destinataires des données.
5. Lorsque l’utilisateur n’est pas une personne concernée, les éventuelles données à caractère personnel générées par l’utilisation d’un produit ou d’un service connexe ne sont rendues disponibles par le détenteur de données que si toutes les conditions et règles prévues par la législation applicable en matière de protection des données sont respectées, notamment s’il existe une base juridique valable en vertu de l’article 6 du règlement (UE) 2016/679 et, le cas échéant, si les conditions énoncées à l’article 9 dudit règlement et à l’article 5, paragraphe 3, de la directive 2002/58/CE sont remplies.
6. Les détenteurs de données utilisent les données à caractère non personnel accessibles à partir d’un produit connecté ou générées lors de la prestation d’un service connexe uniquement dans le cadre d’un accord contractuel avec l’utilisateur. Le détenteur de données ne fait pas dépendre la facilité d’utilisation du produit ou du service connexe du fait que l’utilisateur autorise le traitement des données non nécessaires à la fonctionnalité du produit ou la fourniture du service connexe. Le détenteur de données supprime les données lorsqu’elles ne sont plus nécessaires à la finalité convenue contractuellement. Les détenteurs de données et les utilisateurs n’utilisent pas les données obtenues, recueillies ou générées par l’utilisation du produit ou du service connexe pour obtenir des informations sur la situation économique, les actifs ou les méthodes de production de l’autre partie ou sur l’utilisation que cette dernière fait du produit ou du service connexe, qui sont susceptibles de porter atteinte à la position commerciale de l’autre partie sur les marchés où l’utilisateur est actif.
6 bis. Les détenteurs de données ne mettent pas à la disposition de tiers les données à caractère non personnel auxquelles ils accèdent à partir du produit connecté visé à l’article 3, paragraphe 2, point a), à des fins commerciales ou non commerciales autres que l’exécution de leurs obligations contractuelles envers l’utilisateur. Le cas échéant, les détenteurs de données engagent contractuellement des tiers à ne pas partager les données reçues de leur part.
6 ter. Lorsque l’accord contractuel entre l’utilisateur et un détenteur de données permet l’utilisation de données non personnelles auxquelles ils accèdent à partir du produit connecté, visé à l’article 3, paragraphe 2 bis, point a), le détenteur de données est en mesure d’utiliser ces données pour l’une des finalités suivantes:
a) l’amélioration du fonctionnement du produit connecté ou des services connexes;
b) le développement de nouveaux produits ou services;
c) leur enrichissement, leur manipulation ou leur agrégation avec d’autres données, y compris dans le but de mettre l’ensemble de données qui en résulte à la disposition de tiers, pour autant que cet ensemble de données dérivées ne permette pas d’identifier les éléments de données spécifiques transmis au détenteur de données à partir du produit connecté, ni à un tiers de déduire ces éléments de données à partir de l’ensemble de données.
6 quater. Les utilisateurs, dans le cadre de relations interentreprises, ont le droit de mettre des données à la disposition des destinataires de données ou des détenteurs de données en vertu de toute clause contractuelle licite, y compris en acceptant de limiter ou de restreindre le partage de ces données, et d’être indemnisés proportionnellement en échange de la renonciation à leur droit d’utiliser ou de partager ces données de manière licite. Les destinataires de données ou les détenteurs de données ne peuvent subordonner l’offre d’un service connexe, ou ses conditions commerciales, y compris la tarification, à un tel accord de l’utilisateur, ni contraindre, tromper ou manipuler de quelque autre manière que ce soit l’utilisateur pour qu’il mette les données à disposition en vertu de telles clauses contractuelles.
Article 5
Droit de l’utilisateur de partager des données avec des tiers
1. Lorsqu’un utilisateur ou une partie agissant au nom de ce dernier, telle qu’un service d’intermédiation de données autorisé au sens du règlement (UE) 2022/868, en fait la demande, les détenteurs de données mettent à la disposition d’un tiers les données auxquelles ils ont accédé à partir d’un produit connecté ou générées lors de la fourniture d’un service connexe, dans les meilleurs délais, facilement, de manière sécurisée, dans un format complet, structuré, couramment utilisé et lisible par machine, sans frais pour l’utilisateur, à un niveau de qualité identique à celui dont eux-mêmes bénéficient et, lorsque c’est pertinent et techniquement possible, en continu et en temps réel. Lorsque l’utilisateur est une personne concernée, les données à caractère personnel sont traitées à des fins précisées par la personne concernée, telles que:
a) la fourniture de services après-vente, tels que l’entretien et la réparation du produit, y compris les services après-vente en concurrence avec un produit connecté ou un service fourni par un détenteur de données;
b) permettre à l’utilisateur de mettre à jour le logiciel du produit connecté ou des services connexes, en particulier pour résoudre des problèmes de sécurité et de facilité d’utilisation;
c) des services d’intermédiation de données spécifiques agréés dans l’Union ou services spécifiques fournis par des organisations altruistes en matière de données agréées dans l’Union selon les conditions et exigences des chapitres III et IV du règlement (UE) 2022/868.
Les données conservent leur format initial, à savoir celui dans lequel le produit y a accédé, avec pour seule adaptation le minimum nécessaire pour permettre leur utilisation par un tiers, y compris en ce qui concerne les métadonnées afférentes essentielles à l’interprétation et à l’utilisation des données. Les informations dérivées ou déduites de ces données au moyen d’algorithmes propriétaires complexes, en particulier lorsqu’elles combinent les données issues de plusieurs capteurs dans le produit connecté, ne sont pas prises en compte dans le champ d’application de l’obligation du détenteur de données de partager des données avec des utilisateurs ou des destinataires de données, à moins qu’il n’en soit convenu autrement entre l’utilisateur et le détenteur de données.
1 bis. Le droit prévu au premier paragraphe ne s’applique pas aux données provenant de l’utilisation d’un produit ou d’un service connexe dans le cadre de l’essai d’autres nouveaux produits, substances ou procédés qui ne sont pas encore mis sur le marché, à moins que l’utilisation par un tiers soit autorisée par l’accord conclu avec l’entreprise auprès de laquelle l’utilisateur a convenu d’utiliser un de ses produits pour l’essai d’autres nouveaux produits, substances ou procédés.
2. Toute entreprise fournissant des services de plateforme essentiels dont un ou plusieurs ont été désignés comme contrôleur d’accès, conformément à l’article [...] du ▌règlement (UE) 2022/1925, n’est pas un destinataire de données éligible au titre du présent article et ne peut par conséquent pas:
a) inviter un utilisateur, par une sollicitation ou par une incitation commerciale, quelles qu’elles soient, y compris en fournissant une compensation pécuniaire ou de toute autre nature, à mettre à la disposition de l’un de ses services des données que l’utilisateur a obtenues à la suite d’une demande introduite au titre de l’article 4, paragraphe 1;
b) inviter un utilisateur, par une sollicitation ou par une incitation commerciale, à demander au détenteur de données de mettre des données à la disposition de l’un de ses services conformément au paragraphe 1 du présent article;
c) recevoir d’un utilisateur des données que ce dernier a obtenues à la suite d’une demande introduite au titre de l’article 4, paragraphe 1.
3. L’utilisateur ou le destinataire des données n’est pas tenu de fournir d’autres informations que celles qui sont nécessaires pour vérifier sa qualité d’utilisateur ou de destinataire des données en application du paragraphe 1. Les détenteurs de données ne conservent aucune autre information sur l’accès du destinataire des données aux données demandées que celles qui sont nécessaires à la bonne exécution de la demande d’accès du destinataire des données et à la sécurité et à la maintenance de l’infrastructure de données.
4. Le destinataire de données s’abstient d’avoir recours à des moyens coercitifs ou de tirer avantage de lacunes ▌de l’infrastructure technique d’un détenteur de données destinée à protéger les données pour obtenir l’accès aux données.
5. Le détenteur de données n’utilise aucune donnée à caractère non personnel obtenue, recueillie ou générée par l’utilisation du produit ou du service connexe pour obtenir des informations sur la situation économique, les actifs ou les méthodes de production du tiers ou sur l’utilisation que ce dernier fait du produit ou du service connexe, qui sont susceptibles de porter atteinte à la position commerciale du tiers sur les marchés sur lesquels il exerce ses activités, à moins que le tiers n’ait expressément autorisé cette utilisation et ne dispose de la possibilité technique de facilement retirer cette autorisation à tout moment.
6. Dans le cas d’une personne concernée qui n’est pas l’utilisateur demandant l’accès, les éventuelles données à caractère personnel obtenues, recueillies ou générées par leur utilisation d’un produit ou d’un service connexe et les données dérivées ou déduites de cette utilisation ne sont rendues disponibles au tiers par le détenteur de données que s’il existe une base juridique valable en vertu de l’article 6 du règlement (UE) 2016/679 et, le cas échéant, si les conditions énoncées à l’article 9 dudit règlement et à l’article 5, paragraphe 3, de la directive 2002/58/CE sont remplies.
7. L’éventuelle absence d’accord entre le détenteur de données et le tiers concernant les modalités de transmission des données ne doit pas entraver ou empêcher l’exercice des droits de la personne concernée en vertu du règlement (UE) 2016/679 et, en particulier, du droit à la portabilité des données prévu à l’article 20 dudit règlement.
8. Les secrets d’affaires ne sont divulgués à des tiers que dans la mesure où ils sont strictement nécessaires pour atteindre la finalité de la demande convenue entre l’utilisateur et le tiers et où le tiers prend avant la divulgation toutes les mesures spécifiques nécessaires qu’il a arrêtées avec le détenteur de données, ou avec le détenteur de secrets d’affaires s’il ne s’agit pas également du détenteur de données, pour préserver la confidentialité du secret d’affaires. Dans ce cas, le détenteur de données ou le détenteur de secrets d’affaires détermine les données protégées comme secrets d’affaires et les mesures techniques et organisationnelles visant à préserver leur confidentialité, ainsi que les dispositions en matière de responsabilité. Ces mesures techniques et organisationnelles sont précisées dans l’accord conclu entre le détenteur de données ou le détenteur de secrets d’affaires et le tiers, et comprennent, le cas échéant, des clauses contractuelles types, des protocoles d’accès stricts, des accords confidentiels, des normes techniques et l’application de codes de conduite. Lorsque le tiers ne met pas en œuvre ces mesures ou met en péril la confidentialité des secrets d’affaires, le détenteur de données peut suspendre le partage de données reconnues comme secrets d’affaires. Dans de tels cas, le détenteur de données doit immédiatement signaler au coordinateur des données de l’État membre dans lequel il est établi, conformément à l’article 31, qu’il a suspendu le partage des données, et repérer les mesures qui n’ont pas été mises en œuvre ou les secrets d’affaires dont la confidentialité a été mise en péril. Si le tiers souhaite contester la décision du détenteur de données de suspendre le partage des données, le coordinateur de données décide, dans un délai raisonnable, si le partage des données doit reprendre et, si oui, sous quelles conditions.
9. Le droit visé au paragraphe 1 ne porte pas atteinte aux droits des personnes concernées d’autres parties conformément à la législation applicable en matière de protection des données.
Article 6
Obligations des destinataires de données recevant des données à la demande de l’utilisateur
1. Un destinataire de données traite les données mises à sa disposition en application de l’article 5 uniquement aux fins visées à l’article 5 et dans les conditions convenues avec l’utilisateur et lorsque l’ensemble des conditions et des règles prévues par la législation applicable en matière de protection des données sont respectées, notamment lorsqu’il existe une base juridique valable en vertu de l’article 6, paragraphe 1, du règlement (UE) 2016/679 et, le cas échéant, lorsque les conditions de l’article 9 du règlement (UE) 2016/679 et de l’article 5, paragraphe 3, de la directive 2002/58/CE sont remplies, et sous réserve des droits de la personne concernée eu égard aux données à caractère personnel. Le destinataire de données supprime les données lorsqu’elles ne sont plus nécessaires à la finalité convenue, sauf accord contraire avec l’utilisateur.
2. Le destinataire de données s’abstient:
a) de rendre l’exercice des droits ou le choix des utilisateurs indûment difficile, y compris en proposant des choix aux utilisateurs d’une manière non neutre, de contraindre, tromper ou manipuler l’utilisateur de quelque manière que ce soit, de nuire ou de porter atteinte à l’autonomie, à la prise de décision ou aux choix de l’utilisateur, y compris au moyen d’une interface numérique avec l’utilisateur ou partie de celle-ci, y compris sa structure, sa conception, sa fonction ou son mode de fonctionnement;
b) d’utiliser les données qu’il reçoit à des fins de profilage de personnes physiques au sens de l’article 4, point 4, du règlement (UE) 2016/679 sauf conformément audit règlement;
c) de mettre les données qu’il reçoit à la disposition d’un autre tiers sans informer l’utilisateur d’une manière claire et facilement accessible et demander l’autorisation contractuelle expresse de l’utilisateur;
d) de mettre les données qu’il reçoit à la disposition d’une entreprise fournissant des services de plateforme essentiels dont un ou plusieurs ont été désignés comme contrôleur d’accès, conformément à l’article 3 du [règlement (UE) 2022/1925 (législation sur les marchés numériques)];
e) d’utiliser les données qu’il reçoit pour mettre au point un produit concurrençant le produit dont proviennent les données auxquelles il a accès ou de partager les données avec un autre tiers à cette fin; le destinataire de données n’utilise pas non plus les données à caractère non personnel générées par l’utilisation du produit ou du service connexe pour obtenir des informations sur la situation économique, les actifs ou les méthodes de production du détenteur de données, ou sur l’utilisation que ce dernier fait du produit ou du service connexe, qui sont susceptibles de porter atteinte à la position commerciale du détenteur de données sur les marchés où celui-ci est actif;
e bis) d’utiliser les données qu’il reçoit d’une manière qui nuit à la sécurité du produit ou du ou des services connexes;
e ter) le cas échéant, de ne pas tenir compte des mesures spécifiques dont il a convenu avec le détenteur de données ou le détenteur de secrets d’affaires conformément à l’article 5, paragraphe 8, du présent règlement et de rompre la confidentialité des secrets d’affaires;
e quater) d’utiliser les données pour perturber les informations sensibles relatives à la protection des infrastructures critiques au sens de l’article 2, point d), de la directive 2008/114/CE.
▌
2 bis. Il incombe au tiers d’assurer la sécurité et la protection des données qu’il reçoit de la part d’un détenteur de données.
Article 7
Champ d’application des obligations en matière de partage de données entre entreprises et consommateurs et interentreprises
1. Les obligations du présent chapitre ne s’appliquent pas aux ▌ entreprises qui sont considérées comme des micro ou petites entreprises au sens de l’article 2 de l’annexe de la recommandation 2003/361/CE, à condition que ces entreprises n’aient pas d’entreprises partenaires ou d’entreprises liées qui, au sens de l’article 3 de l’annexe de la recommandation 2003/361/CE, ne sont pas considérées comme des micro ou petites entreprises, et lorsqu’une micro ou petite entreprise n’est pas sous-traitée pour fabriquer ou concevoir un produit ou fournir un service connexe.
2. Lorsque le présent règlement fait référence à des produits ou à des services connexes, cette référence s’entend également comme incluant les assistants virtuels, dans la mesure où ceux-ci sont utilisés pour accéder à un produit ou un service lié ou pour le contrôler.
CHAPITRE III
OBLIGATIONS APPLICABLES AUX DÉTENTEURS DE DONNÉES LÉGALEMENT TENUS DE RENDRE DES DONNÉES DISPONIBLES
Article 8
Conditions dans lesquelles les détenteurs de données mettent des données à la disposition de destinataires de données
1. Lorsqu’un détenteur de données est tenu de mettre des données à la disposition d’un destinataire de données en application de l’article 5 ou d’autres dispositions du droit de l’Union ou de la législation nationale mettant en œuvre le droit de l’Union, il convient avec un destinataire de données des modalités de cette mise à disposition et le fait dans des conditions équitables, raisonnables et non discriminatoires et de manière transparente, conformément aux dispositions du présent chapitre et du chapitre IV.
2. ▌Une clause contractuelle concernant l’accès aux données et leur utilisation ou la responsabilité et les voies de recours en cas de violation ou de résiliation des obligations relatives aux données n’est pas contraignante si elle satisfait aux conditions de l’article 13 ou si elle exclut l’application des droits de l’utilisateur au titre du chapitre II, y déroge ou en modifie les effets.
3. Lorsqu’il met des données à disposition, un détenteur de données s’abstient, eu égard aux modalités du partage de données, de toute discrimination entre des catégories comparables de destinataires de données, y compris les entreprises partenaires ou les entreprises liées du destinataire de données, telles que définies à l’article 3 de l’annexe de la recommandation 2003/361/CE. Lorsqu’un destinataire de données a des motifs raisonnables de penser que les conditions dans lesquelles des données ont été mises à sa disposition sont discriminatoires, le détenteur de donnéesfournit au destinataire de données, dans les meilleurs délais, des informations attestant l’absence de discrimination.
▌
5. Les détenteurs de données et les destinataires de données ne sont pas tenus de fournir des informations autres que celles qui sont nécessaires pour vérifier le respect des conditions contractuelles convenues pour la mise à disposition des données ou des obligations qui leur incombent au titre du présent règlement ou d’autres dispositions législatives applicables de l’Union ou de la législation nationale mettant en œuvre le droit de l’Union.
5 bis. Les détenteurs de données et les destinataires de données prennent toutes les mesures juridiques, organisationnelles et techniques nécessaires pour garantir la sécurité et l’intégrité des transferts de données.
6. Sauf disposition contraire du droit de l’Union, y compris de l’article 4, paragraphe 3, de l’article 5, paragraphe 8, et de l’article 6 du présent règlement, ou de la législation nationale mettant en œuvre le droit de l’Union, l’obligation de mettre des données à la disposition d’un destinataire de données n’impose pas la divulgation de secrets d’affaires au sens de la directive (UE) 2016/943.
Article 9
Compensation pour la mise à disposition de données
1. Toute compensation convenue, dans le cadre de relations interentreprises, entre un détenteur de données et un destinataire de données pour la mise à disposition des données est non discriminatoire et raisonnable. Un détenteur de données, un destinataire de données ou un tiers ne saurait facturer directement ou indirectement aux consommateurs ou aux personnes concernées des frais, une compensation ou des coûts pour le partage des données ou pour l’accès à celles-ci.
2. Lorsque le destinataire de données est un organisme de recherche à but non lucratif ou une PME, au sens de l’article 2 de l’annexe de la recommandation 2003/361/CE, toute compensation convenue n’excède pas les coûts qui sont directement liés à la mise à la disposition des données au destinataire de données et qui sont imputables à la demande, à condition qu’une telle entreprise n’ait pas d’entreprises partenaires ou d’entreprises liées qui, au sens de l’article 3 de l’annexe de la recommandation 2003/361/CE, ne sont pas considérées comme des PME. L’article 8, paragraphe 3, s’applique en conséquence. Dans le cas d’une PME, le détenteur de données informe activement de l’obligation de fournir les données de préférence sur la base d’un modèle fondé sur les coûts.
2 bis. La Commission élabore des lignes directrices pour déterminer les critères applicables aux catégories de coûts liés à la mise à disposition des données, qui servent de base à l’octroi d’une compensation conformément au premier paragraphe.
3. Le présent article ne fait pas obstacle à ce que d’autres dispositions du droit de l’Union ou de la législation nationale mettant en œuvre le droit de l’Union excluent une éventuelle compensation pour la mise à disposition de données ou prévoient une compensation moins élevée.
4. Le détenteur de données fournit au destinataire de données des informations exposant la base de calcul de la compensation de manière suffisamment détaillée pour lui permettre de vérifier que les exigences du paragraphe 1 et, le cas échéant, du paragraphe 2 sont respectées.
Article 10
Règlement des litiges
1. Les utilisateurs, les détenteurs de données et les destinataires de données ont accès à des organismes de règlement des litiges, certifiés conformément au paragraphe 2 du présent article, pour régler les litiges concernant le respect par le détenteur de données de l’obligation de mettre les données à la disposition du destinataire de données à la demande de l’utilisateur, la détermination de conditions équitables, raisonnables et non discriminatoires applicables à la mise à disposition de données et la façon de rendre ces données disponibles en toute transparence, conformément aux articles 8, 9 et 13.
2. L’État membre dans lequel l’organisme de règlement des litiges est établi certifie l’organisme à la demande de celui-ci, lorsque cet organisme a démontré qu’il remplit toutes les conditions suivantes:
a) il est impartial et indépendant et rendra ses décisions conformément à des règles de procédure claires et équitables;
b) il dispose de l’expertise nécessaire en ce qui concerne la détermination de conditions équitables, raisonnables et non discriminatoires applicables à la mise à disposition de données et la façon de rendre ces données disponibles en toute transparence, ce qui permet à l’organisme de déterminer efficacement ces conditions;
c) il est facilement accessible au moyen de technologies de communication électronique;
d) il est en mesure de rendre ses décisions de manière rapide, efficace et économiquement avantageuse, et dans au minimum une langue officielle de l’État membre où l’organisme est établi.
Si aucun organisme de règlement des litiges n’est certifié dans un État membre au plus tard le [date d’application du règlement], cet État membre crée et certifie un organisme de règlement des litiges qui remplit les conditions énoncées aux points a) à d) du présent paragraphe.
3. Les États membres notifient à la Commission les organismes de règlement des litiges certifiés conformément au paragraphe 2. La Commission publie une liste de ces organismes sur un site web spécifique et la tient à jour.
4. Les organismes de règlement des litiges informent les parties concernées des redevances, ou des mécanismes utilisés pour les déterminer, avant que ces parties ne demandent une décision.
5. Les organismes de règlement des litiges refusent de traiter une demande de règlement relative à un litige qui a déjà été porté devant un autre organisme de règlement des litiges ou devant une juridiction d’un État membre.
6. Les organismes de règlement des litiges donnent aux parties la possibilité, dans un délai raisonnable, d’exprimer leur point de vue sur les questions qu’elles ont soumises à ces organismes. Dans ce contexte, les organismes de règlement des litiges communiquent à ces parties les observations de l’autre partie et toute déclaration faite par des experts. Ces organismes donnent aux parties la possibilité de formuler des observations sur ces observations et déclarations.
7. Les organismes de règlement des litiges prennent leur décision sur les questions qui leur sont soumises au plus tard 90 jours après le dépôt de la demande de décision. Ces décisions sont présentées par écrit ou sur un support durable et sont étayées par un exposé des motifs à l’appui de la décision.
7 bis. Les organismes de règlement des litiges rendent publics des rapports annuels d’activités. Chaque rapport annuel inclut en particulier les informations suivantes:
a) le nombre de litiges reçus;
b) une agrégation des résultats de ces litiges;
c) le laps de temps moyen nécessaire au règlement des litiges;
d) les raisons les plus fréquentes entraînant des litiges entre les parties.
7 ter. Afin de faciliter l’échange d’informations et de meilleures pratiques, l’organisme public de règlement des litiges peut décider d’inclure des recommandations sur la manière dont ces problèmes peuvent être évités ou résolus.
8. La décision de l’organisme de règlement des litiges n’est contraignante pour les parties que si celles-ci ont expressément accepté son caractère contraignant avant le début de la procédure de règlement du litige.
9. Le présent article ne porte pas atteinte au droit des parties de former un recours effectif devant une juridiction d’un État membre.
Article 11
Mesures techniques de protection et dispositions relatives à l’utilisation ou à la divulgation non autorisées de données
1. Le détenteur de données peut appliquer des mesures techniques appropriées de protection, y compris des contrats intelligents et le cryptage, afin d’empêcher la divulgation des données et l’accès non autorisé à celles-ci, et de garantir le respect des articles 4, 5, 6, 8, 9 et 10 ainsi que des conditions contractuelles convenues pour la mise à disposition des données. Ces mesures techniques de protection ne doivent pas donner lieu à une discrimination entre les destinataires des données ni porter atteinte au droit de l’utilisateur d’obtenir effectivement une copie des données, de les récupérer, de les utiliser ou d’y accéder, ou de fournir effectivement des données à des tiers conformément à l’article 5 ou à tout droit dont bénéficie un tiers en vertu des dispositions du droit de l’Union ou de la législation nationale mettant en œuvre le droit de l’Union visées à l’article 8, paragraphe 1. Lorsqu’un utilisateur ou un détenteur de données fournit des preuves tangibles pertinentes de l’utilisation illicite ou de la divulgation non autorisée à un tiers par le destinataire des données, le destinataire des données fournit, à la demande de l’utilisateur ou du détenteur de données, des informations sur la manière dont les données ont été utilisées ou sur les tiers avec lesquels elles ont été partagées.
2. Lorsqu’un destinataire de données qui, aux fins de l’obtention de données, a fourni de fausses informations ▌ au détenteur de données, a eu recours à des moyens trompeurs ou coercitifs ou a tiré avantage de lacunes dans l’infrastructure technique du détenteur de données destinée à protéger les données, a utilisé les données rendues disponibles à des fins non autorisées, y compris pour la mise au point d’un produit concurrent au sens de l’article 6, paragraphe 2, point e), ou a divulgué illégalement des données à une autre partie ▌, le destinataire de données est responsable des dommages causés à la partie lésée par l’utilisation abusive ou la divulgation de ces données et se conforme dans les meilleurs délais aux demandes du détenteur de données ou du détenteur de secrets d’affaires lorsqu’il ne s’agit pas de la même personne moraleet:
a) efface les données rendues disponibles ▌ et les éventuelles copies de celles-ci;
b) met fin, dans les meilleurs délais, à la production, à l’offre, à la mise sur le marché ou à l’utilisation de biens, de données ou de services dérivés produits sur la base des connaissances obtenues au moyen de ces données, ou à l’importation, à l’exportation ou au stockage de biens non conformes destinés aux fins précitées, et détruit tout bien non conforme.
b bis) informe l’utilisateur de l’utilisation ou de la divulgation non autorisée des données et des mesures prises pour mettre fin à l’utilisation ou à la divulgation non autorisée des données;
b ter) informe le détenteur de données de la divulgation de ces données.
2 bis. Lorsque le destinataire de données est en infraction au regard de l’article 6, paragraphe 2, points a) et b), l’utilisateur jouit des mêmes prérogatives que le détenteur de données et le destinataire de données est tenu aux mêmes obligations que celles énoncées au paragraphe 2.
▌
Article 12
Champ d’application des obligations concernant les détenteurs de données légalement tenus de rendre des données disponibles
1. Le présent chapitre s’applique lorsqu’un détenteur de données est tenu, en application de l’article 5, du droit de l’Union ou de la législation nationale mettant en œuvre le droit de l’Union, de mettre des données à la disposition d’un destinataire de données.
2. Toute clause contractuelle figurant dans un accord de partage de données qui, au détriment d’une partie ou, le cas échéant, au détriment de l’utilisateur, exclut l’application du présent chapitre, y déroge ou en modifie les effets, est nulle.
2 bis. Toute clause contractuelle d’un accord de partage de données conclu entre des détenteurs de données et des destinataires de données qui porte atteinte à l’application des droits au respect de la vie privée et à la protection des données de personnes concernées, y déroge ou en modifie les effets, est nulle.
3. Le présent chapitre ne s’applique qu’en ce qui concerne les obligations de mise à disposition de données en vertu du droit de l’Union ou de la législation nationale mettant en œuvre le droit de l’Union, qui entrent en vigueur après le [date d’application du règlement].
CHAPITRE IV
CLAUSES ABUSIVES RELATIVES À L’ACCÈS AUX DONNÉES ET À L’UTILISATION DES DONNÉES INTERENTREPRISES
Article 13
Clauses contractuelles abusives imposées unilatéralement à une ▌entreprise
1. Une clause contractuelle concernant l’accès aux données et leur utilisation ou la responsabilité et les voies de recours en cas de violation ou de résiliation d’obligations relatives aux données qu’une entreprise a imposée unilatéralement à une autre entreprise ne lie pas cette dernière entreprise, le destinataire de données ou l’utilisateur des données, respectivement, si elle est abusive.
1 bis. Une clause contractuelle n’est pas considérée comme abusive lorsqu’elle découle du droit de l’Union applicable.
2. Une clause contractuelle est abusive si elle est d’une nature telle qu’elle porte objectivement atteinte à la capacité de la partie à laquelle la clause a été imposée unilatéralement de protéger son intérêt commercial légitime dans les données en question, ou si son utilisation s’écarte fortement des bonnes pratiques commerciales en matière d’accès aux données et d’utilisation de celles-ci, et qu’elle est contraire à la bonne foi et à la loyauté, ou qu’elle crée un déséquilibre significatif entre les droits et les obligations des parties au contrat.
3. Aux fins du présent article, une clause contractuelle est abusive si elle a pour objet ou pour effet:
a) d’exclure ou de limiter la responsabilité de la partie qui a unilatéralement imposé la clause en cas d’actes intentionnels ou de négligence grave;
b) d’exclure les voies de recours dont dispose la partie à laquelle la clause a été unilatéralement imposée en cas d’inexécution d’obligations contractuelles ou la responsabilité de la partie qui l’a imposée unilatéralement en cas de manquement à ces obligations;
c) de donner à la partie qui a unilatéralement imposé la clause le droit exclusif de déterminer si les données fournies sont conformes au contrat ou d’interpréter toute clause du contrat.
4. Aux fins du présent article, une clause contractuelle est réputée abusive si elle a pour objet ou pour effet:
a) de limiter de manière inappropriée les voies de recours en cas d’inexécution des obligations contractuelles ou la responsabilité en cas de manquement à ces obligations;
b) de permettre à la partie qui a unilatéralement imposé la clause d’accéder aux données de l’autre partie contractante et de les utiliser d’une manière qui porte gravement atteinte aux intérêts légitimes de l’autre partie contractante, y compris lorsque ces données contiennent des données sensibles d’un point de vue commercial, ou sont protégées par des secrets d’affaires ou des droits de propriété intellectuelle, sans le consentement préalable des parties concernées;
c) d’empêcher la partie à laquelle la clause a été unilatéralement imposée d’utiliser les données qu’elle a fournies ou générées pendant la durée du contrat, ou de limiter l’utilisation de ces données dans la mesure où cette partie n’est pas autorisée à utiliser, à capturer, à consulter ou à contrôler ces données ou à en exploiter la valeur de manière proportionnée;
c bis) d’imposer un choix unilatéral en ce qui concerne la juridiction compétente ou le paiement des coûts de procédure;
c ter) d’empêcher la partie à laquelle la clause a été imposée unilatéralement de résilier l’accord dans un délai raisonnable;
d) d’empêcher la partie à laquelle la clause a été unilatéralement imposée d’obtenir une copie des données qu’elle a fournies ou générées pendant la durée du contrat ou dans un délai raisonnable après la résiliation de celui-ci;
e) de permettre à la partie qui a unilatéralement imposé la clause de modifier considérablement le prix initial payable en vertu du contrat, ou toute autre condition substantielle sur les données devant être partagées, sans que l’autre partie ait le droit de résilier le contrat, ou de permettre à la partie qui a unilatéralement imposé la clause de résilier le contrat dans un délai excessivement court, compte tenu des possibilités raisonnables de l’autre partie contractante de se tourner vers un service alternatif et comparable et du préjudice financier causé par cette résiliation, sauf s’il existe des motifs sérieux de le faire.
5. Une clause contractuelle est considérée comme imposée unilatéralement au sens du présent article si elle a été fournie par une partie contractante et si l’autre partie contractante n’a pas été en mesure d’influencer son contenu malgré une tentative de négociation. Il appartient à la partie contractante qui a fourni une clause contractuelle de prouver que cette clause n’a pas été imposée unilatéralement.
6. Lorsque la clause contractuelle abusive est dissociable des autres clauses du contrat, ces dernières restent contraignantes.
6 bis. La partie qui a fourni la clause faisant l’objet d’une contestation ne peut pas invoquer le caractère abusif de la clause.
7. Le présent article ne s’applique pas aux clauses contractuelles définissant l’objet principal du contrat et n’affecte pas la capacité des parties à négocier le prix à payer.
8. Les parties à un contrat visé au paragraphe 1 ne sauraient exclure l’application du présent article, y déroger ou en modifier les effets.
8 bis. Le présent article s’applique à tous les nouveaux contrats conclus après ... [date d’entrée en vigueur du présent règlement]. Les entreprises disposent d’un délai de trois ans après cette date pour revoir les obligations contractuelles existantes qui sont soumises au présent règlement.
8 ter. Compte tenu de la fréquence des innovations sur les marchés, la liste des clauses contractuelles abusives visées à l’article 13 est réexaminée régulièrement par la Commission et actualisée, le cas échéant, au vu des nouvelles pratiques commerciales.
CHAPITRE V
METTRE DES DONNÉES À LA DISPOSITION DES ORGANISMES DU SECTEUR PUBLIC ET DES INSTITUTIONS, ORGANES OU ORGANISMES DE L’UNION EN RAISON D’UN BESOIN EXCEPTIONNEL
Article 14
Obligation de mettre les données à disposition en raison d’un besoin exceptionnel
1. Sur demande spécifique dûment justifiée, limitée dans le temps et dans sa portée, un détenteur de données ayant la qualité de personne morale met les données à caractère non personnel qui sont disponibles au moment de la demande, y compris les métadonnées, à la disposition d’un organisme du secteur public ou d’une institution, d’un organe ou d’un organisme de l’Union démontrant l’existence d’un besoin exceptionnel d’utiliser les données demandées.
2. Le présent chapitre ne s’applique pas aux petites et microentreprises telles que définies à l’article 2 de l’annexe de la recommandation 2003/361/CE.
2 bis. Le présent chapitre ne fait pas obstacle aux accords volontaires entre les entreprises et les organismes du secteur public et les institutions, organes ou organismes de l’Union pour le partage de données aux fins de la fourniture de services publics, y compris pour des besoins exceptionnels si cela est stipulé dans leurs contrats.
Article 15
Besoin exceptionnel d’utiliser des données
Un besoin exceptionnel d’utiliser des données à caractère non personnel au sens du présent chapitre a une durée et une portée limitées et est réputé exister seulement dans les cas suivants:
a) lorsque les données demandées sont nécessaires pour réagir à une urgence publique;
b) dans les situations non urgentes, lorsque l’organe du secteur public ou l’institution, l’organe ou l’organisme de l’Union agit sur la base du droit de l’Union ou du droit national et a identifié des données spécifiques dont il ne dispose pas et qui sont nécessaires à l’accomplissement d’une mission spécifique d’intérêt public expressément prévue par la loi, telle que la prévention d’une urgence publique ou le rétablissement à la suite d’une urgence publique, et que l’organe du secteur public ou l’institution, l’organe ou l’organisme de l’Union n’a pas été en mesure d’obtenir par l’un des moyens suivants: des accords volontaires; en achetant les données sur le marché ou en invoquant les obligations existantes de mise à disposition des données.
▌
Article 15 bis
Point unique pour traiter les demandes des organismes du secteur public
1. Le coordinateur des données désigné en vertu de l’article 31 est chargé de coordonner les demandes présentées en vertu de l’article 14, paragraphe 1, émanant des organismes du secteur public de l’État membre concerné, afin de s’assurer que les demandes satisfont aux exigences énoncées dans le présent chapitre et il les transmet au détenteur de données. Il veille à ce que différents organismes du secteur public situés sur son territoire n’adressent pas des demandes multiples au même détenteur de données.
2. Les États membres informent régulièrement la Commission des demandes présentées conformément à l’article 14, paragraphe 1.
3. Lorsque des organismes du secteur public ou des institutions, organes ou organismes de l’Union demandent des données au même détenteur de données dans plus d’un État membre en invoquant un besoin exceptionnel au titre de l’article 14, paragraphe 1, les autorités compétentes des États membres coopèrent conformément à l’article 22 pour coordonner leurs demandes lorsque cela est nécessaire afin de réduire au minimum la charge administrative pesant sur les détenteurs de données.
4. La Commission élabore un modèle de demande conformément à l’article 17.
Article 16
Relation avec d’autres obligations de mettre des données à la disposition d’organismes du secteur public et d’institutions, organes et organismes de l’Union
1. Le présent chapitre ne porte pas atteinte aux obligations prévues par le droit de l’Union ou par le droit national aux fins de l’établissement de rapports, du respect des demandes d’information ou de la démonstration ou de la vérification du respect des obligations légales.
2. ▌Leprésent chapitre ne s’applique pas aux organismes du secteur public ni aux institutions, aux organes et aux organismes de l’Union qui mènent des activités à des fins de prévention et de détection des infractions pénales ou administratives, d’enquêtes et de poursuites en la matière, d’exécution de sanctions pénales, ni à l’administration douanière ou fiscale. Le présent chapitre n’affecte pas le droit de l’Union et le droit national applicables en matière de prévention et de détection des infractions pénales ou administratives, d’enquêtes et de poursuites en la matière, d’exécution de sanctions pénales ou administratives, ou d’administration douanière ou fiscale.
2 bis. Les entreprises qui relèvent du champ d’application du présent chapitre informent leurs utilisateurs de la possibilité que des données puissent être partagées en cas de circonstances exceptionnelles.
Article 17
Demandes de mise à disposition de données
1. Dans le cadre d’une demande de données en vertu de l’article 14, paragraphe 1, un organisme du secteur public ou une institution, un organe ou un organisme de l’Union ▌:
a) présente une demande de données dans les limites de ses attributions et précise quelles sont les ensembles de données demandés;
b) démontre le besoin exceptionnel pour lequel les données sont demandées et le respect des conditions mentionnées à l’article 15;
c) explique la finalité de la demande, l’utilisation prévue des données demandées et la durée de cette utilisation;
c bis) précise, si possible, la date à laquelle les données sont censées être supprimées par toutes les parties qui y ont accès;
c ter) justifie le choix du détenteur de données auquel la demande est adressée;
c quater) précise les autres organismes du secteur public, les institutions, organes ou organismes de l’Union et les tiers avec lesquels il est prévu de partager les données demandées;
c quinquies) divulgue l’identité du tiers visé au paragraphe 4 du présent article, et à l’article 21 du présent règlement;
c sexies) applique toutes les mesures de sécurité informatique pertinentes en ce qui concerne le transfert et le stockage de données;
d) indique la base juridique de la demande de données;
d bis) précise les limites géographiques applicables à la demande de données;
e) précise le délai dans lequel les données doivent être mises à disposition et dans lequel le détenteur de données peut demander à l’organisme du secteur public, à l’institution, à l’organe ou à l’organisme de l’Union de modifier ou de retirer la demande;
e bis) présente une déclaration sur le traitement licite et sécurisé des données demandées, y compris la confidentialité des secrets d’affaires;
e ter) veiller à ce que la mise à disposition des données ne mette pas le détenteur des données dans une situation contraire au droit de l’Union ou au droit national et ne le rende pas responsable de toute infraction ou de tout dommage résultant de l’accès aux données qu’un organisme du secteur public ou une institution, un organe ou un organisme de l’Union a demandé.
2. Une demande de données présentée en vertu du paragraphe 1 du présent article:
a) est rédigée par écrit et exprimée en termes clairs, concis et simples, compréhensibles pour le détenteur de données;
a bis) est présentée par l’intermédiaire de l’autorité compétente;
a ter) est spécifique quant au type de données demandées et correspond aux données que le détenteur de données détient au moment de la demande;
b) est justifiée et proportionnée au besoin exceptionnel, en ce qui concerne la granularité et le volume des données demandées, ainsi que la fréquence d’accès aux données demandées;
c) respecte les objectifs légitimes du détenteur de données, compte tenu de la protection des secrets d’affaires ainsi que des coûts et des efforts nécessaires pour mettre les données à disposition. Le cas échéant, elle précise les mesures à prendre en application de l’article 19, paragraphe 2, pour préserver la confidentialité des secrets d’affaires, y compris, au besoin, par des clauses contractuelles types, des normes techniques et des codes de conduite;
d) concerne uniquement les données à caractère non personnel;
e) informe le détenteur de données des sanctions qui sont imposées en vertu de l’article 33 par un coordinateur de donnés tel que visé à l’article 31 en cas de non-respect de la demande;
f) est transmise au coordinateur de données visé à l’article 31, qui rendra la demande publiquement accessible en ligne dans les meilleurs délais; le coordinateur des données peut informer l’organisme du secteur public ou l’institution, l’organe ou l’organisme de l’Union si le détenteur de données a déjà fourni les données demandées en réponse à une demande déposée précédemment aux mêmes fins par un autre organisme du secteur public ou institution, organe ou organisme de l’Union.
3. Un organisme du secteur public ou une institution, un organe ou un organisme de l’Union ne met pas les données obtenues en vertu du présent chapitre à disposition en vue de leur réutilisation au sens de la directive (UE) 2019/1024 et du règlement (UE) 2022/868. La directive (UE) 2019/1024 et le règlement (UE) 2022/868 ne s’appliquent pas aux données détenues par des organismes du secteur public obtenues au titre du présent chapitre.
4. Le paragraphe 3 n’empêche pas un organisme du secteur public ou une institution, un organe ou un organisme de l’Union d’échanger des données obtenues en vertu du présent chapitre avec un autre organisme du secteur public, une autre institution, un autre organe ou un autre organisme de l’Union aux fins de de l’accomplissement des tâches prévues à l’article 15 qui figuraient dans la demande formulée conformément au paragraphe 1, point c quater), ni de mettre les données à la disposition d’un tiers dans les cas où il ou elle a externalisé, au moyen d’un accord accessible au public, des inspections techniques ou d’autres fonctions auprès de ce tiers. Il engage contractuellement le tiers à ne pas utiliser les données à d’autres fins et à ne pas partager les données avec d’autres tiers. Lorsqu’un organisme du secteur public ou une institution, un organe ou un organisme de l’Union transmet ou met à disposition des données en vertu du présent paragraphe, il en informe le détenteur de données auprès duquel les données ont été obtenues dans les meilleurs délais. Dans un délai de cinq jours ouvrables à compter de cette notification, le détenteur de données a le droit de formuler une objection motivée à cette transmission ou à cette mise à disposition des données. En cas de rejet de l’objection motivée par l’organisme du secteur public ou une institution, un organe ou un organisme de l’Union, le détenteur de données peut porter l’affaire devant le coordinateur des données visé à l’article 31. Les organismes du secteur public, les institutions, organes ou organismes de l’Union et les tiers qui reçoivent des données sont tenus au respect des obligations énoncées à l’article 19 ▌.
Les données obtenues en application du présent chapitre ne sont utilisées qu’aux fins spécifiées dans la demande. Les organismes du secteur public, les institutions, organes ou organismes de l’Union engagent contractuellement les tiers avec lesquels ils ont convenu de partager des données en vertu du paragraphe 4 à ne pas les utiliser à d’autres fins et à ne pas les partager avec d’autres parties.
Article 18
Respect des demandes de données
1. Le détenteur de données qui reçoit une demande d’accès à des données au titre du présent chapitre met ces données à la disposition de l’organisme du secteur public qui les demande ou d’une institution, d’un organe ou d’un organisme de l’Union dans les meilleurs délais, en tenant compte de la mise à disposition du temps et des mesures techniques, organisationnelles et juridiques nécessaires.
2. Sans préjudice des besoins spécifiques concernant la disponibilité des données définis dans la législation sectorielle, le détenteur de données peut rejeter la demande ou demander sa modification dans un délai de cinq jours ouvrables à compter de la réception d’une demande de données nécessaires pour réagir à une situation d’urgence publique, et dans un délai de trente jours ouvrables dans les autres cas de besoin exceptionnel, pour l’un des motifs suivants:
a) le détenteur de données ne dispose pas des données au moment de la demande;
a bis) les mesures de sécurité prévues concernant le transfert, le stockage et le maintien de la confidentialité sont insuffisantes;
a ter) une demande similaire a été présentée précédemment pour la même finalité par un autre organisme du secteur public ou par une autre institution, un autre organe ou un autre organisme, et le détenteur de données n’a pas été informé de la destruction des données conformément à l’article 19, paragraphe 1, point c);
b) la demande ne satisfait pas aux conditions énoncées à l’article 17, paragraphes 1 et 2).
▌
4. Si le détenteur de données décide de rejeter la demande ou de demander sa modification conformément au paragraphe 3, il indique l’identité de l’organisme du secteur public ou de l’institution, de l’organe ou de l’organisme de l’Union qui a présenté précédemment une demande pour la même finalité.
5. Lorsque le respect de la demande de mise à disposition de données adressée à un organisme du secteur public ou à une institution, un organe ou un organisme de l’Union requiert la divulgation de données à caractère personnel, le détenteur de données pseudonymise les données à caractère personnel à mettre à disposition.
6. Lorsque l’organisme du secteur public ou l’institution, l’organe ou l’organisme de l’Union souhaite contester le refus d’un détenteur de données de fournir les données demandées, ou sa demande de modification de la demande, ou lorsque le détenteur de données souhaite contester la demande, l’affaire pourrait être portée devant le coordinateur de données visé à l’article 31, sans préjudice du droit de demander réparation devant une juridiction civile ou administrative, conformément au droit de l’Union ou de l’État membre.
Article 19
Obligations des organismes du secteur public et des institutions, organes et organismes de l’Union
1. Un organisme du secteur public ou une institution, un organe ou un organisme de l’Union ayant reçu des données à la suite d’une demande présentée en vertu de l’article 14, et un institut de statistique ou un organisme de recherche recevant des données à la suite d’une demande présentée en vertu de l’article 21, paragraphe 1:
▌
b) met en œuvre, dans la mesure où le traitement des données à caractère personnel est nécessaire, des mesures techniques et organisationnelles garantissant les droits et libertés des personnes concernées, et garantit un niveau de sécurité élevé et empêche la divulgation non autorisée de données;
b bis) met en œuvre les mesures techniques et organisationnelles nécessaires pour gérer les risques cybernétiques susceptibles d’affecter la confidentialité, l’intégrité ou la disponibilité des données demandées;
b ter) notifie au détenteur de données qui lui a transmis les données tout incident en matière de cybersécurité affectant la confidentialité, l’intégrité ou la disponibilité des données reçues dès que possible et au plus tard 72 heures après avoir constaté l’incident, sans préjudice des obligations de notification prévues par le règlement (UE) XXX/XXXX (EUIBAL) et la directive (UE) 2022/2555. Ces entités sont responsables des dommages engendrés par les atteintes à la cybersécurité si elles n’ont pas mis en place les mesures prévues au paragraphe 1, point b bis).
c) efface les données dès qu’elles ne sont plus nécessaires à la finalité indiquée et informe sans retard injustifié le détenteur de données que les données ont été effacées.
1 bis. Un organisme du secteur public, une institution, un organe ou un organisme de l’Union, ou un tiers recevant des données en vertu du présent chapitre s’abstient:
a) d’utiliser les données pour mettre au point un produit ou un service concurrençant le produit ou service ou pour améliorer un produit ou un service existant dont proviennent les données consultées;
b) d’obtenir des informations sur la situation économique, les actifs et les méthodes de production ou d’exploitation du détenteur de données, ou de partager les données avec un autre tiers à cette fin; ou
c) de partager les données avec un autre tiers à l’une de ces fins.
2. La divulgation de secrets d’affaires ▌à un organisme du secteur public ou à une institution, un organe ou un organisme de l’Union n’est exigée que dans la mesure où elle est strictement nécessaire pour atteindre la finalité d’une demande présentée au titre de l’article 15. Dans ce cas, le détenteur de données détermine les données protégées en tant que secrets d’affaires. L’organisme du secteur public ou l’institution, l’organe ou l’organisme de l’Union prend à l’avance toutes les mesures techniques ou organisationnelles nécessaires et appropriées qui ont été convenues avec le détenteur de données, ou le détenteur de secrets d’affaires s’il ne s’agit pas de la même personne morale, pour préserver la confidentialité de ces secrets d’affaires, y compris, le cas échéant, par l’utilisation de clauses contractuelles types, des normes techniques et l’application de codes de conduite.
2 bis. Lorsqu’un organisme du secteur public ou une institution, un organe ou un organisme de l’Union transmet ou met des données à disposition de tiers pour exécuter les tâches qui lui ont été confiées en conséquence de l’externalisation des inspections techniques ou d’autres fonctions conformément à l’article 17, paragraphe 4, les secrets d’affaires, tels que recensés par le détenteur de données, ne sont divulgués que dans la mesure où ils sont strictement nécessaires à l’exécution par le tiers des tâches qui lui ont été confiées, et à condition que toutes les mesures spécifiques nécessaires, y compris les mesures techniques et organisationnelles, convenues entre le détenteur de données et le tiers soient prises à l’avance pour préserver la confidentialité de ces secrets d’affaires, y compris, le cas échéant, par l’utilisation de clauses contractuelles types, des normes techniques et l’application de codes de conduite.
2 ter. Dans les cas où l’organisme du secteur public, l’institution, l’organe ou l’organisme de l’Union qui a présenté la demande de données, ou le tiers qui a reçu les données conformément à l’article 17, paragraphe 4, ne met pas en œuvre ces mesures ou porte atteinte à la confidentialité de secrets d’affaires, le détenteur de données peut suspendre le partage de données recensées comme secrets d’affaires. Dans de tels cas, le détenteur de données signale immédiatement au coordinateur des données de l’État membre dans lequel il est établi, conformément à l’article 31, qu’il a suspendu le partage des données, et repère les mesures qui n’ont pas été mises en œuvre ou les secrets d’affaires dont la confidentialité a été mise en péril. Si l’organisme du secteur public, l’institution, l’organe ou l’organisme de l’Union ou le tiers souhaite contester la décision du détenteur de données de suspendre le partage des données, le coordinateur des données décide, dans un délai raisonnable, si le partage des données doit reprendre et, si oui, sous quelles conditions.
2 quater. Un organisme du secteur public ou une institution, un organe ou un organisme de l’Union sont responsables de la sécurité des données qu’ils reçoivent.
2 quinquies. Un organisme du secteur public ou une institution, un organe ou un organisme de l’Union informe le détenteur de données en cas de violation de la sécurité dès que possible, mais au plus tard sous 48 heures.
Article 20
Compensation en cas de besoin exceptionnel
1. Sauf indication contraire dans le droit de l’Union ou le droit national, les données mises à disposition pour répondre à une urgence publique conformément à l’article 15, point a), sont fournies gratuitement. L’organisme du secteur public ou l’institution, l’organe ou l’organisme de l’Union qui a reçu des données accorde une reconnaissance publique au détenteur de données si celui-ci lui en fait la demande.
2. ▌Le détenteur de données dispose d’un droit à une rémunération juste pour la mise à disposition de données conformément à une demande présentée au titre de l’article 15, points b), et cette compensation couvre au minimum les coûts techniques et organisationnels encourus pour se conformer à la demande, y compris, le cas échéant, les coûts d’anonymisation et d’adaptation technique, augmentés d’une marge raisonnable. À la demande de l’organisme du secteur public ou de l’institution, de l’organe ou de l’organisme de l’Union demandant les données, le détenteur de données fournit des informations sur la base du calcul des coûts et de la marge raisonnable.
2 bis. Lorsque l’organisme du secteur public ou l’institution, l’organe ou l’organisme de l’Union souhaite contester le niveau de rémunération demandé par le détenteur de données, l’affaire est portée à l’attention du coordinateur des données visé à l’article 31 de l’État membre dans lequel le détenteur de données est établi.
Article 21
Contribution des organismes de recherche ou des instituts de statistique dans le cadre de besoins exceptionnels
1. Un organisme du secteur public ou une institution, un organe ou un organisme de l’Union a le droit de partager les données reçues au titre du présent chapitre avec des particuliers ou des organismes en vue de mener des travaux de recherche scientifique ou des analyses nécessaires pour atteindre la finalité pour laquelle les données ont été demandées, ou avec des instituts nationaux de statistique, les membres du Système européen de banques centrales et Eurostat en vue d’établir des statistiques officielles.
2. Les particuliers ou les organismes qui reçoivent les données en vertu du paragraphe 1 agissent exclusivement dans un but non lucratif ou dans le cadre d’une mission d’intérêt public reconnue par le droit de l’Union ou le droit d’un État membre. Sont exclus les organismes sur lesquels des entreprises commerciales ont une influence notable, ce qui pourrait conduire à un accès préférentiel aux résultats des recherches.
3. Les particuliers ou les organismes qui reçoivent les données en vertu du paragraphe 1 se conforment aux dispositions de l’article 17, paragraphe 3, et de l’article 19.
4. Lorsqu’un organisme du secteur public ou une institution, un organe ou un organisme de l’Union a l’intention de transmettre ou mettre des données à disposition en vertu du paragraphe 1, il ou elle en informe le détenteur de données de qui émanent les données reçues. Cette notification comprend l’identité et les coordonnées des particuliers ou des organismes qui reçoivent les données, la finalité de la transmission ou de la mise à disposition des données et la période pendant laquelle les données seront utilisées par l’entité destinataire. Dans les cinq jours ouvrables suivant la notification visée au premier alinéa du présent paragraphe, le détenteur de données a le droit de formuler une objection motivée à cette transmission ou à cette mise à disposition des données. En cas de rejet de l’objection par l’organisme du secteur public, l’institution, l’organe ou l’organisme de l’Union, le détenteur de données peut porter cette objection motivée devant le coordinateur des données visé à l’article 31.
Article 22
Assistance mutuelle et coopération transfrontière
1. Les organismes du secteur public et les institutions, organes et organismes de l’Union coopèrent et se prêtent mutuellement assistance afin de mettre en œuvre le présent chapitre de manière cohérente.
2. Les données échangées dans le cadre de la demande d’assistance et fournies en vertu du paragraphe 1 ne sont pas utilisées d’une manière incompatible avec la finalité pour laquelle elles ont été demandées.
3. Lorsqu’un organisme du secteur public a l’intention de demander des données à un détenteur de données établi dans un autre État membre, il notifie d’abord cette intention au coordinateur des données de cet État membre comme le prévoit l’article 31. Cette exigence s’applique également aux demandes adressées par les institutions, organes et organismes de l’Union. La demande est évaluée en conséquence par l’autorité compétente de l’État membre dans lequel le détenteur de données est établi.
4. Après avoir été avisée conformément au paragraphe 3, le coordinateur des données concerné informe l’organisme du secteur public demandeur de la nécessité, le cas échéant, de coopérer avec les organismes du secteur public de l’État membre dans lequel le détenteur de données est établi, dans le but de réduire la charge administrative qui pèse sur le détenteur de données pour se conformer à la demande. L’organisme du secteur public demandeur tient compte de l’avis du coordinateur des données.
CHAPITRE VI
CHANGEMENT DE SERVICES DE TRAITEMENT DES DONNÉES
Article 22 bis
Définitions
Aux fins du présent chapitre, les définitions suivantes sont applicables:
1) «service de traitement des données»: un service numérique permettant un accès universel et à la demande, par réseau, à un ensemble partagé de ressources informatiques configurables, modulables et variables de nature centralisée, distribuée ou fortement distribuée, fournies à un client et pouvant être rapidement mobilisées et libérées avec un minimum d’efforts ou d’intervention d’un fournisseur de services;
2) «sur site»: une infrastructure TIC et des ressources informatiques louées ou détenues par le client, situées dans son propre centre de données et exploitées par le client ou par un tiers;
3) «service équivalent»: un ensemble de services de traitement des données qui partagent le même objectif principal et le même modèle de service de traitement des données;
4) «portabilité des données du service de traitement des données»: la capacité du service en nuage à déplacer et à adapter ses données exportables entre les services de traitement des données du client, y compris dans différents modèles de déploiement;
5) «changement de fournisseur»: le processus par lequel un client d’un service de traitement des données passe de l’utilisation d’un service de traitement des données à l’utilisation d’un second service équivalent ou d’un autre service proposé par un autre fournisseur de services de traitement des données, y compris en extrayant, en transformant et en téléversant les données, avec la participation du fournisseur source des services de traitement des données, du client et du fournisseur de services de traitement des données destinataire;
6) «données exportables»: les données d’entrée et de sortie, y compris les métadonnées, générées directement ou indirectement, ou cogénérées, par l’utilisation par le client du service de traitement des données, à l’exclusion des actifs ou des données d’un fournisseur de services de traitement des données ou d’un tiers protégés par des droits de propriété intellectuelle ou constituant un secret d’affaires ou des informations confidentielles;
7) «équivalence fonctionnelle»: la possibilité de rétablir, sur la base des données du client, un niveau minimal de fonctionnalité dans l’environnement d’un nouveau service de traitement des données après le changement de fournisseur, lorsque le service de destination produit un résultat comparable en réponse à la même entrée pour la fonctionnalité partagée fournie au client en vertu de l’accord contractuel;
8) «frais de sortie»: les frais de transfert de données facturés aux clients d’un fournisseur de services de traitement des données pour l’extraction de leurs données via le réseau à partir de l’infrastructure TIC d’un fournisseur de services de traitement des données.
Article 23
Suppression des obstacles au changement efficace de fournisseur de services de traitement des données
1. Les fournisseurs d’un service de traitement des données prennent, en leur qualité, les mesures prévues aux articles 24, 24 bis, 24 ter, 25 et 26 pour permettre aux clients de passer à un autre service de traitement des données, couvrant le ▌service équivalent, qui est proposé par un autre fournisseur de services de traitement des données ou, le cas échéant, de recourir simultanément à plusieurs fournisseurs de services de traitement des données. En particulier, les fournisseurs d’un service de traitement des données ne créent pas et suppriment les obstacles commerciaux, techniques, contractuels et organisationnels, qui freinent les clients dans les démarches suivantes:
a) la résiliation, après un préavis maximal de 60 jours calendaires, de l’accord contractuel couvrant le service, à moins qu’un autre préavis ne soit convenu d’un commun accord entre le client et le fournisseur lorsque les deux parties sont en mesure d’influencer de la même manière le contenu de l’accord contractuel;
b) la conclusion de nouveaux accords contractuels avec un autre fournisseur de services de traitement des données couvrant un ▌service équivalent;
c) le portage des données exportables, des applications et autres actifs numériques du client vers un autre fournisseur de services de traitement des données ou vers une infrastructure TIC sur site, y compris après avoir bénéficié d’une offre gratuite;
d) parvenir à une équivalence fonctionnelle dans l’utilisation du nouveau service dans l’environnement informatique du ou des différents fournisseurs de services de traitement des données couvrant le ▌service équivalent, conformément à l’article 26.
2. Le paragraphe 1 ne s’applique qu’aux obstacles liés aux services, accords contractuels ou pratiques commerciales du fournisseur source des services de traitement des données.
Article 24
Clauses contractuelles concernant le changement de fournisseur de services de traitement des données
1. Les droits du client et les obligations du fournisseur d’un service de traitement des données en ce qui concerne le changement de fournisseur de ces services ou, le cas échéant, à une infrastructure TIC sur site sont clairement énoncés dans un contrat écrit qui est mis à la disposition du client d’une manière conviviale avant la signature du contrat. Sans préjudice de la directive (UE) 2019/770, le fournisseur d’un service de traitement des donnéesveille à ce que ce contrat comporte au moins les éléments suivants:
a) des clauses permettant au client, sur demande, de passer à un service de traitement des données proposé par un autre fournisseur de services de traitement des données ou de transférer toutes les applications ▌de données et actifs numériques exportablesvers une infrastructure TIC sur site, sans retard et, en tout état de cause, au plus tard pendant une période transitoire obligatoire maximale de 90 jours calendaires pendant laquelle le fournisseur de services de traitement des données:
i) apporte son aide dans le processus de changement de fournisseur et facilite ledit processus, de façon raisonnable;
ii) agit avec la vigilance requise pour maintenir la continuité des activités et un niveau élevé de sécurité du service et, compte tenu de l’avancement de la procédure de changement de fournisseur, assure, dans toute la mesure du possible, la continuité dans la fourniture des fonctions ou des services concernésdans le cadre des capacités du fournisseur source de services de traitement des données et conformément aux obligations contractuelles.
ii bis) fournit des informations claires sur les risques connus en ce qui concerne la continuité dans la fourniture des fonctions ou services respectifs de la part du fournisseur de services de traitement des données d’origine.
a bis) une liste des services supplémentaires que les clients peuvent obtenir pour faciliter la procédure de changement de fournisseur, tels que l’essai de la procédure de changement;
a ter) l’obligation pour le fournisseur de services de traitement des données de contribuer à l’élaboration de la stratégie de sortie du client en rapport avec les services contractuels, y compris en fournissant toutes les informations pertinentes;
b) une spécification détaillée de toutes les catégories de données et d’applications qui peuvent être exportées pendant le processus de changement de fournisseur, y compris, au minimum, toutes les données exportables;
c) une période minimale pour l’extraction des données d’au moins 30 jours calendaires à compter de la fin de la période transitoire convenue entre le client et le fournisseur de services de traitement des données, conformément au paragraphe 1, point a), et au paragraphe 2;
c bis) l’obligation pour le fournisseur de services de traitement des données de supprimer toutes les données exportables de l’ancien client après l’expiration de la période fixée au paragraphe 1, point c), du présent article;
2. Lorsqu’il est techniquement impossible de respecter la période transitoire obligatoire définie au paragraphe 1, points a) et c), du présent article, le fournisseur de services de traitement des données en informe le client dans un délai de 14 jours ouvrables à compter de la présentation de la demande de changement de fournisseur, et motive dûment l’impossibilité technique et indique une autre période transitoire, qui ne peut excéder 9 mois. Conformément au paragraphe 1 du présent article, la ▌continuité du service est assurée tout au long de l’autre période transitoire avec une réduction des frais, visée à l’article 25, paragraphe 2. Le client conserve le droit de prolonger cette période, si nécessaire, avant ou pendant le processus de changement de fournisseur.
Article 24 bis
Obligation d’information incombant aux fournisseurs de services de traitement des données de destination
Le fournisseur de services de traitement des données de destination fournit au client des informations sur les procédures disponibles pour le changement de fournisseur et le portage vers le service de traitement des données lorsqu’il s’agit d’une destination de portage, y compris des informations sur les méthodes et formats de portage disponibles, ainsi que sur les restrictions et les limitations techniques connues du fournisseur de services de traitement des données de destination.
Article 24 ter
Obligation de bonne foi
Toutes les parties concernées, y compris les fournisseurs de services de traitement des données de destination, collaborent de bonne foi pour rendre le processus de changement de fournisseur efficace, permettre le transfert en temps utile des données nécessaires et maintenir la continuité du service.
Article 25
Suppression progressive des frais de changement de fournisseur
1. À compter du [date d’entrée en vigueur du présent règlement], les fournisseurs de services de traitement des données n’imposent aucun frais aux clients consommateurs pour le changement de fournisseur.
2. À compter du [date X, la date d’entrée en vigueur du présent règlement] et jusqu’au [date X + 3 ans], les fournisseurs de services de traitement des données peuvent imposer des frais réduits aux clients dans le cadre de relations d’entreprise à entreprise en ligne pour le changement de fournisseur, en particulier concernant les frais de sortie.
2 bis. À compter du [trois ans après la date d’entrée en vigueur du présent règlement], les fournisseurs de services de traitement des données n’imposent aucun frais pour le changement de fournisseur.
3. Les frais visés au paragraphe 2 ne dépassent pas les coûts supportés par le fournisseur de services de traitement des données qui sont directement liés au changement de fournisseur concerné, et sont associés aux opérations obligatoires que le fournisseur de services de traitement des données doit effectuer dans le cadre du processus de changement de fournisseur.
3 bis. Les frais d’abonnement ou de service standard et les frais liés à la prestation de services de transition professionnels réalisée par le fournisseur de services de traitement des données à la demande du client pour contribuer au processus de changement de fournisseur ne sont pas considérés comme des frais de changement de fournisseur aux fins du présent article.
3 ter. Avant de conclure un accord contractuel avec un client, le fournisseur de services de traitement des données fournit au client des informations claires décrivant les frais imposés au client pour la procédure de changement de fournisseur conformément au paragraphe 2, ainsi que les frais visés au paragraphe 3 bis, et, le cas échéant, fournit des informations sur les services qui impliquent un changement de fournisseur très complexe ou coûteux ou pour lesquels il est impossible de changer de fournisseur sans interférence significative dans l’architecture des données, des applications ou des services. Le cas échéant, le fournisseur de services de traitement des données met ces informations à la disposition des clients sur une section spécifique de son site internet ou par tout autre moyen facilement accessible.
4. La Commission est habilitée à adopter des actes délégués conformément à l’article 38 pour compléter le présent règlement afin d’introduire un mécanisme de suivi permettant à la Commission de suivre les frais de changement de fournisseur appliqués sur le marché par les fournisseurs deservices de traitement des données afin de garantir que la suppression et la réduction des frais de changement de fournisseur visées aux paragraphes 1 et 2 du présent article est réalisée dans le délai prévu aux mêmes paragraphes.
Article 26
Aspects techniques du changement de fournisseur
1. Les fournisseurs de services de traitement des données qui sont liés à des ressources informatiques modulables et variables limitées à des éléments d’infrastructure tels que les serveurs, les réseaux et les ressources virtuelles nécessaires à l’exploitation de l’infrastructure, mais qui ne donnent pas accès aux services, logiciels et applications d’exploitation qui sont stockés, traités ou déployés sur ces éléments d’infrastructure, prennent les mesures raisonnables de facilitation en leur pouvoir pour que le client, après être passé à un service couvrant le même type de service proposé par un autre fournisseur de services de traitement des données, obtienne une équivalence fonctionnelle dans l’utilisation du nouveau service, à condition que l’équivalence fonctionnelle soit établie par le fournisseur de services de traitement des données de destination. Le fournisseur source de services de traitement des données facilite le processus en fournissant des capacités, des informations, de la documentation, une assistance technique et, le cas échéant, les outils nécessaires.
2. Les fournisseurs de services de traitement des données ▌, y compris les fournisseurs de services de traitement des données de destination, mettent gratuitement à la disposition du public des interfaces ouvertes afin de faciliter le passage entre ces services et la portabilité et l’interopérabilité des données. Conformément au paragraphe 1 du présent article, ces services permettent également qu’un service spécifique, lorsqu’il n’y a pas d’obstacles majeurs, puisse être dissocié du contrat et mis à disposition pour changer de fournisseur de manière interopérable.
3. ▌Les fournisseurs de services de traitement des données assurent la compatibilité avec les spécifications d’interopérabilité et de portabilité ouvertes ou les normes européennes d’interopérabilité qui sont définies conformément à l’article 29, paragraphe 5 ▌.
3 bis. Les fournisseurs de services de traitement des données pour lesquels une nouvelle spécification d’interopérabilité et de portabilité ouverte ou une nouvelle norme européenne a été publiée dans le répertoire visé à l’article 29, paragraphe 5, ont droit à une période de transition d’un an en ce qui concerne le respect de l’obligation visée au paragraphe 3 du présent article.
4. Lorsque les spécifications d’interopérabilité et de portabilité ouvertes ou les normes européennes visées au paragraphe 3 de cet article n’existent pas pour le ▌ service équivalent concerné, le fournisseur de services de traitement des données exporte, à la demande du client, lorsque cela est techniquement possible, toutes les données exportables dans un format structuré, couramment utilisé et lisible par machine, comme indiqué au client conformément à la stratégie de sortie visée à l’article 24, paragraphe 1, point a ter), à moins qu’un autre format ne soit accepté par celui-ci.
4 bis. Les fournisseurs de services de traitement des données ne sont pas tenus de développer de nouvelles technologies ou de nouveaux services, de divulguer ou de transférer des données ou des technologies relevant de la propriété exclusive ou confidentielle à un client ou à un autre fournisseur de services de traitement des données ou de compromettre la sécurité et l’intégrité du service du client ou du fournisseur;
Article 26 bis
Exemptions pour certains services de traitement des données
1. Les obligations énoncées à l’article 23, paragraphe 1, point d), et aux articles 25 et 26 ne s’appliquent pas aux services de traitement des données qui ont été conçus sur mesure pour répondre aux besoins spécifiques d’un client.
2. Les obligations énoncées dans le présent chapitre ne s’appliquent pas aux services de traitement des données fournis gratuitement, qui fonctionnent à titre expérimental ou qui ne fournissent qu’un service d’essai et d’évaluation pour les offres de produits professionnels.
Article 26 ter
Règlement des litiges
1. Les clients ont accès à des organismes de règlement des litiges, certifiés conformément à l’article 10, paragraphe 2, pour régler les litiges relatifs aux violations des droits des clients et des obligations des fournisseurs de services de traitement des données en relation avec le changement de fournisseur de tels services. Le client peut permettre à un tiers de faire valoir ses droits en justice en son nom.
2. Les paragraphes 3 à 9 de l’article 10 s’appliquent au règlement des litiges entre les clients et les fournisseurs de services de traitement des données en relation avec le changement de fournisseur de tels services.
CHAPITRE VII
GARANTIES EN MATIÈRE DE DONNÉES À CARACTÈRE NON PERSONNEL DANS UN CONTEXTE INTERNATIONAL
Article 27
Accès et transfert à l’échelle internationale
1. Les fournisseurs de services de traitement des données prennent toutes les mesures techniques, juridiques et organisationnelles ▌, y compris les accords contractuels, afin d’empêcher le transfert à l’échelle internationale de données à caractère non personnel détenues dans l’Union et l’accès des gouvernements de pays tiers à celles-ci dans les cas où ce transfert ou cet accès serait contradiction avec le droit de l’Union ou au droit de l’État membre concerné, sans préjudice des paragraphes 2 ou 3.
2. Toute décision ou tout jugement d’une juridiction et toute décision d’une autorité administrative d’un pays tiers exigeant d’un fournisseur de services de traitement des données qu’il transfère ou donne accès à des données à caractère non personnel entrant dans le champ d’application du présent règlement et détenues dans l’Union ne sont reconnus ou rendus exécutoires de quelque manière que ce soit qu’à la condition qu’ils soient fondés sur un accord international, tel qu’un traité d’entraide judiciaire, en vigueur entre le pays tiers demandeur et l’Union ou sur tout accord de ce type entre le pays tiers demandeur et un État membre.
3. En l’absence d’un tel accord international, lorsqu’un fournisseur de de services de traitement des données est destinataire d’une décision d’une juridiction ou d’une autorité administrative d’un pays tiers de transférer depuis l’Union des données à caractère non personnel entrant dans le champ d’application du présent règlement et détenues dans l’Union ou d’y donner accès, et lorsque le respect d’une telle décision risquerait de mettre le destinataire en contrariété avec le droit de l’Union ou avec le droit de l’État membre concerné, le transfert de ces données vers cette autorité d’un pays tiers ou l’accès à ces données par cette même autorité n’a lieu qu’après un examen par les organismes ou autorités compétents concernés, conformément au présent règlement, afin de déterminer, outre les dispositions de tout droit de l’État membre ou de l’Union pertinent, s’il est satisfait aux conditions suivantes:
a) le système du pays tiers exige que les motifs et la proportionnalité de la décision ou du jugement soient exposés et que cette décision ou ce jugement, selon le cas, revête un caractère spécifique, par exemple en établissant un lien suffisant avec certains suspects, ou avec des infractions;
b) l’objection motivée du destinataire fait l’objet d’un examen par une juridiction compétente dans le pays tiers; et
c) la juridiction compétente qui rend la décision ou le jugement ou qui contrôle la décision d’une autorité administrative est habilitée, en vertu du droit de ce pays tiers, à prendre dûment en compte les intérêts juridiques concernés du fournisseur des données protégées par le droit de l’Union ou par le droit national de l’État membre concerné.
Le destinataire de la décision peut solliciter l’avis de la Commission, du coordinateur des données, en application du présent règlement, ou des autorités ou organismes compétents concernés afin de déterminer s’il est satisfait à ces conditions, notamment lorsqu’il estime que la décision peut concerner des secrets d’affaires et autres données commercialement sensibles, ainsi que des contenus protégés par des droits de propriété intellectuelle, ou porter atteinte aux intérêts de l’Union ou de ses États membres en matière de sécurité nationale ou de défense. Si le destinataire n’a pas reçu de réponse après un mois, ou si les autorités compétentes concluent dans leur avis que les conditions ne sont pas remplies, le destinataire refuse la demande de transfert ou d’accès pour ces motifs.
Le comité européen de l’innovation dans le domaine des données mis en place en vertu du règlement (UE) 2022/868 et visé à l’article 31 bis du présent règlement conseille et assiste la Commission dans l’élaboration de lignes directrices relatives à l’appréciation de la question de savoir si ces conditions sont remplies.
4. Si les conditions énoncées au paragraphe 2 ou au paragraphe 3 sont remplies, le fournisseur de services de traitement des données fournit le volume minimal de données admissible en réponse à une demande, en partant d’une interprétation raisonnable de la demande par l’organisme ou l’autorité compétent concerné.
4 bis. Lorsque le fournisseur de services de traitement des données a des raisons de croire que le transfert de données à caractère non personnel ou l’accès à de telles données peut entraîner un risque de réidentification de données à caractère non personnel ou anonymisées, il demande l’autorisation aux organismes ou autorités compétents en vertu de la législation applicable en matière de protection des données avant de transférer des données ou de donner accès à celles-ci.
5. Le fournisseur de services de traitement des données informe le détenteur de données de l’existence d’une demande d’accès à des données le concernant qui émane d’une autorité administrative d’un pays tiers avant de donner suite à la demande, sauf dans les cas où cette demande sert des fins répressives et aussi longtemps que cela est nécessaire pour préserver l’efficacité de l’action répressive.
CHAPITRE VIII
INTEROPÉRABILITÉ
Article 28
Exigences essentielles concernant l’interopérabilité des espaces de données
1. Les participants aux espaces des données qui proposent des données ou des services de données à d’autres participants, respectent les exigences essentielles suivantes en vue de faciliter l’interopérabilité des données, des mécanismes de partage de données et des services en la matière:
a) le contenu de l’ensemble de données, les restrictions d’utilisation, les licences, la méthode de collecte des données, la qualité des données et l’incertitude sur les données sont suffisamment décrits dans un format lisible par machine pour permettre au destinataire de trouver les données, d’y accéder et de les utiliser;
b) les structures de données, les formats de données, les vocabulaires, les systèmes de classification, les taxinomies et les listes de codes sont décrits de manière publiquement accessible et cohérente;
c) les moyens techniques d’accès aux données, tels que les interfaces de programmation d’applications, ainsi que leurs conditions d’utilisation et leur qualité de service sont suffisamment décrits pour permettre l’accès automatique aux données et leur transmission automatique entre les parties, y compris en continu ou en temps réel ▌ dans un format lisible par machine, lorsque cela est techniquement possible et n’entrave pas le bon fonctionnement du produit;
d) les moyens permettant l’interopérabilité des contrats ▌pour le partage de données dans le cadre de leurs services et activités sont prévus.
Ces exigences peuvent être de nature générique ou concerner des secteurs spécifiques, tout en tenant pleinement compte de l’interdépendance avec les exigences découlant d’autres législations sectorielles nationales ou de l’Union.
2. La Commission est habilitée à adopter des actes délégués, après consultation du comité européen de l’innovation dans le domaine des données conformément à l’article 29 et à l’article 30, points f) et h), du règlement (UE) 2022/868, et conformément à l’article 38 du présent règlement, afin de compléter le présent règlement en précisant davantage les exigences essentielles visées au paragraphe 1 du présent article.
3. Les participants aux espaces des données qui proposent des données ou des services de données à d’autres participants aux espaces des données qui satisfont aux normes harmonisées ou à des parties de normes harmonisées dont les références ont été publiées au Journal officiel de l’Union européenne sont présumés respecter les exigences essentielles visées au paragraphe 1 ▌, dans la mesure où ces normes couvrent ces exigences.
3 bis. Les participants au sein d’un espace de données bien précis conviennent des règles selon lesquelles les obligations de rendre compte relatives à ces obligations sont définies entre les participants.
4. Conformément à l’article 10 du règlement (UE) nº 1025/2012, la Commission peut demander à une ou plusieurs organisations européennes de normalisation d’élaborer des normes harmonisées qui satisfont aux exigences essentielles visées au paragraphe 1 du présent article mises au point d’une manière ouverte, transparente, neutre d’un point de vue technologique, dirigée par l’industrie et participative, conformément au chapitre II du règlement (UE) nº 1025/2012, en tenant compte, le cas échéant, des normes internationales existantes, des bonnes pratiques, des normes, des spécifications techniques et des normes de code source ouvert pertinentes ainsi que des besoins des petites et moyennes entreprises.
5. La Commission, par voie d’actes d’exécution, peut adopter des spécifications communes lorsque les normes harmonisées visées au paragraphe 4 du présent article n’existent pas ou si elle estime que les normes harmonisées pertinentes sont insuffisantes pour garantir la conformité aux exigences essentielles visées au paragraphe 1 du présent article, le cas échéant. Avant d’adopter ces actes d’exécution, la Commission demande conseil auprès du comité européen de l’innovation dans le domaine des données et tient compte des positions pertinentes qu’il a adoptées, conformément à l’article 30, point f), du règlement (UE) 2022/868 et ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 39, paragraphe 2.
6. La Commission peut adopter des lignes directrices proposées par le comité européen de l’innovation dans le domaine des données conformément à l’article 30, points h), du règlement (UE) 2022/868, établissant des spécifications d’interopérabilité pour le fonctionnement des espaces européens communs des données, telles que des règles et accords juridiques d’exécution entre parties pour les modèles architecturaux et les normes techniques qui favorisent le partage de données, par exemple en ce qui concerne les droits d’accès et la traduction technique du consentement ou de l’autorisation.
Article 29
Interopérabilité et portabilité des services de traitement des données
1. Les spécifications d’interopérabilité et de portabilité ouvertes et les normes européennes pour l’interopérabilité et la portabilité des services de traitement des données:
a) lorsque cela est techniquement possible, sont orientées vers les performances et la réalisation de l’interopérabilité et de la portabilité entre différents services de traitement des données couvrant des services équivalents;
b) améliorent la portabilité des actifs numériques entre différents services de traitement des données couvrant des services équivalents;
c) facilitent, lorsque cela est techniquement possible, l’équivalence fonctionnelle entre différents services de traitement des données visés à l’article 26, paragraphe 1, qui couvrent des services équivalents;
c bis) ne portent pas atteinte à la sécurité et à l’intégrité des services et des données;
c ter) sont conçues de manière à permettre des avancées techniques et l’inclusion de nouvelles fonctions et innovations dans les services de traitement des données.
2. Les spécifications d’interopérabilité et de portabilité ouvertes et les normes européennes pour l’interopérabilité et la portabilité des services de traitement des données couvrent:
a) les aspects de l’interopérabilité de l’informatique en nuage pour l’interopérabilité du transport de données, l’interopérabilité syntactique, l’interopérabilité sémantique des données, l’interopérabilité comportementale et l’interopérabilité stratégique;
b) les aspects de la portabilité des données en nuage pour la portabilité syntactique des données, la portabilité sémantique des données et la portabilité stratégique des données;
c) les aspects des applications en nuage pour la portabilité syntactique des applications, la portabilité des instructions des applications, la portabilité des métadonnées des applications, la portabilité comportementale des applications et la portabilité stratégique des applications.
3. Les spécifications d’interopérabilité et de portabilité ouvertes sont conformes aux paragraphes 3 et 4 de l’annexe II du règlement (UE) nº 1025/2012.
3 bis. Les spécifications d’interopérabilité et de portabilité ouvertes et les normes européennes ne faussent pas le marché des services de traitement des données et ne limitent pas le développement de nouvelles technologies ou solutions concurrentes et innovantes ou de toute technologie ou solution fondée sur elles.
4. En tenant compte des normes internationales et européennes pertinentes ainsi que des initiatives d’autorégulation, conformément à l’article 10 du règlement (UE) nº 1025/2012, la Commission peut demander à une ou plusieurs organisations européennes de normalisation d’élaborer des normes européennes applicables à des services équivalents de traitement des données. La normalisation tient compte des besoins des petites et moyennes entreprises.
5. Aux fins de l’article 26, paragraphe 3, du présent règlement, la Commission , après consultation du comité européen de l’innovation dans le domaine des données conformément à l’article 29 et à l’article 30, points f) et h), du règlement (UE) 2022/868 est habilitée à adopter des actes délégués, complétant le présent règlement, conformément à l’article 38 de ce règlement, pour publier la référence des normes ouvertes ▌pour l’interopérabilité et la portabilité des services de traitement des données dans le répertoire central des normes de l’Union pour l’interopérabilité et la portabilité des services de traitement des données élaborées par les organisations de normalisation pertinentes ou les organismes visés à l’annexe II, paragraphe 3, du règlement (UE) nº 1025/2012, lorsque celles-ci satisfont aux critères énoncés aux paragraphes 1 et 2 du présent article.
Article 30
Exigences essentielles concernant les contrats intelligents pour le partage de données
▌La partie proposant des contrats intelligents ▌ dans le cadre d’un accord de mise à disposition des données, respecte les exigences essentielles suivantes:
a) robustesse et contrôle de l’accès: veiller à ce que le contrat intelligent ait été conçu de manière à offrir des mécanismes rigoureux de contrôle d’accès et un degré très élevé de robustesse afin d’éviter les erreurs fonctionnelles et de résister aux tentatives de manipulation par des tiers;
b) résiliation et interruption en toute sécurité: veiller à ce qu’il existe un mécanisme permettant de mettre fin à l’exécution continue des transactions: le contrat intelligent intègre des fonctions internes qui peuvent réinitialiser le contrat ou lui donner instruction de cesser ou d’interrompre l’opération afin d’éviter de futures exécutions (accidentelles); à cet effet, les conditions permettant de réinitialiser un contrat intelligent ou de lui donner instruction de cesser ou d’interrompre l’opération devraient être définies de manière claire et transparente. Il convient notamment d’évaluer les conditions dans lesquelles une résiliation ou une interruption non conventionnelle devrait être autorisée;
b bis) équivalence: un contrat intelligent doit offrir le même niveau de protection et de sécurité juridique que tout autre contrat établi par d’autres moyens.
b ter) la protection de la confidentialité des secrets d’affaires: assurer qu’un contrat intelligent a été élaboré pour garantir la confidentialité des secrets d’affaires, conformément au présent règlement.
▌
CHAPITRE IX
MISE EN ŒUVRE ET EXÉCUTION
Article 31
Coordinateur des données
1. Chaque État membre désigne une autorité de coordination indépendante compétente («coordinateur des données») chargée de l’application et de l’exécution du présent règlement, de coordonner les activités confiées à cet État membre, d’agir en qualité d’interlocuteur unique pour la Commission en ce qui concerne la mise en œuvre du présent règlement et de représenter l’État membre au comité européen de l’innovation dans le domaine des données, tel que prévu à l’article 31 bis.
1 bis. Les autorités de contrôle indépendantes chargées de contrôler l’application du règlement (UE) 2016/679 sont responsables du contrôle de l’application du présent règlement en ce qui concerne la protection des données à caractère personnel. Les chapitres VI et VII du règlement (UE) 2016/679 s’appliquent par analogie. Le contrôleur européen de la protection des données est chargé de contrôler l’application du présent règlement dans la mesure où il concerne les institutions, organes et organismes de l’Union. Le cas échéant, l’article 62 du règlement (UE) 2018/1725 s’applique par analogie. Les autorités de contrôle exercent leurs missions et leurs pouvoirs à l’égard du traitement des données à caractère personnel.
2. Sans préjudice des dispositions du paragraphe 1 du présent article, le coordinateur des données garantit la coopération entre les autorités nationales compétentes responsables du contrôle d’autres actes juridiques nationaux ou de l’Union dans le domaine des données et des services de communication électronique, à savoir:
▌
b) pour les questions spécifiques sur l’accès aux données sectorielles en lien avec la mise en œuvre du présent règlement, la compétence des autorités sectorielles est respectée, sans préjudice de règles régissant les conflits de compétence;
c) l’autorité nationale compétente chargée de l’application et de l’exécution du chapitre VI du présent règlement dispose d’une expérience dans le domaine des données et des services de communications électroniques.
3. Les États membres veillent à ce que les missions et pouvoirs respectifs du coordinateur des données soient clairement définis et incluent:
a) la sensibilisation des utilisateurs et des entités relevant du champ d’application du présent règlement aux droits et obligations découlant du présent règlement;
b) le traitement des réclamations découlant de prétendues violations du présent règlement, la prise de décisions en la matière, l’examen de l’objet de la réclamation, dans la mesure nécessaire, et l’information à intervalles réguliers de l’auteur de la réclamation de l’état d’avancement et de l’issue de l’enquête dans un délai raisonnable, notamment si un complément d’enquête ou une coordination avec une autre autorité compétente est nécessaire;
c) la réalisation d’enquêtes sur des questions concernant l’application du présent règlement, y compris sur la base d’informations reçues d’une autre autorité compétente ou d’une autre autorité publique;
d) l’imposition, par des procédures administratives, de sanctions financières dissuasives, proportionnées et effectives, pouvant comporter des astreintes et des sanctions avec effet rétroactif, ou l’engagement de procédures judiciaires en vue d’infliger des amendes;
e) le suivi des évolutions technologiques et commerciales pertinentes pour la mise à disposition et l’utilisation des données, en vue d’une meilleure exécution du présent règlement;
f) la coopération avec les coordinateurs des données d’autres États membres pour garantir l’application effective, rapide et cohérente du présent règlement, y compris l’échange de toutes les informations pertinentes par voie électronique, dans les meilleurs délais;
f bis) la coopération avec toutes les autorités compétentes concernées conformément à d’autres actes législatifs de l’Union, ainsi qu’avec le comité européen de la protection des données et le comité européen de l’innovation dans le domaine des données, afin de veiller à ce que les obligations prévues par le présent règlement soient exécutées de manière cohérente avec les autres actes législatifs de l’Union;
g) l’assurance que les demandes d’accès aux données présentées par des organismes du secteur public en cas d’urgences publiques au titre du chapitre V sont mises à la disposition du public en ligne;
h) la coopération avec toutes les autorités compétentes concernées afin de veiller à ce que les obligations du chapitre VI soient exécutées de manière cohérente avec les autres actes législatifs de l’Union et mesures d’autoréglementation applicables aux fournisseurs de services de traitement des données;
i) l’assurance que les frais facturés pour le changement de fournisseur de services de traitement des données sont supprimés conformément à l’article 25.
4. Lorsqu’un État membre désigne plusieurs autorités compétentes, les coordinateurs des données coopèrent entre eux, dans l’exercice des missions et pouvoirs qui leur sont conférés en vertu du paragraphe 3 du présent article, ainsi qu’avec le comité européen de l’innovation dans le domaine des données, y compris, le cas échéant, avec l’autorité de contrôle chargée de contrôler l’application du règlement (UE) 2016/679 et avec le contrôleur européen de la protection des données, afin d’assurer l’application cohérente du présent règlement. En pareil cas, les États membres concernés désignent une autorité compétente coordonnatrice.
5. Les États membres communiquent à la Commission et au comité européen de l’innovation dans le domaine des données le nom du coordinateur des données ainsi que ses missions et pouvoirs respectifs et, le cas échéant, le nom de l’autorité compétente coordonnatrice. La Commission tient un registre public de ces autorités.
6. Lorsqu’ils accomplissent leurs missions et exercent leurs pouvoirs conformément au présent règlement, les coordinateurs des données agissent de manière indépendante et impartiale et restent libres de toute influence extérieure, qu’elle soit directe ou indirecte, et ne sollicitent ni n’acceptent d’instructions d’aucune autre autorité publique ni d’aucune entité privée.
7. Les États membres veillent à ce que le coordinateur des données dispose des ressources humaines et techniques suffisantes, de l’expertise, des installations et de l’infrastructure nécessaires pour s’acquitter correctement de ses tâches conformément au présent règlement.
7 bis. Les entités relevant du champ d’application du présent règlement relèvent de la compétence judiciaire de l’État membre dans lequel elles sont établies.
7 ter. Un utilisateur, détenteur de données ou destinataire de données qui est une personne morale non établie dans l’Union, mais sujette aux obligations prévues dans le présent règlement, désigne un représentant légal dans l’un des États membres où sont établis ses cocontractants pertinents.
7 quater. Les autorités compétentes au titre du présent règlement ont le pouvoir d’exiger des utilisateurs, détenteurs de données et destinataires de données qui sont des personnes morales, ou de leur représentant légal, toutes les informations nécessaires pour vérifier la conformité avec les exigences du présent règlement. Toute demande d’informations est proportionnée à l’accomplissement de la tâche et est motivée.
7 quinquies. Lorsqu’un utilisateur, détenteur de données ou destinataire de données qui est une personne morale non établie dans l’Union ne désigne pas de représentant légal, ou lorsqu’elle en désigne un mais que celui-ci ne fournit pas, sur demande de l’autorité compétente, les informations nécessaires de nature à prouver entièrement la conformité avec le présent règlement, l’autorité compétente a le pouvoir de reporter le début de la prestation de services connexes par des détenteurs de données, ou de suspendre cette prestation, ainsi que de reporter ou de suspendre les demandes d’accès aux données détenues par des détenteurs de données formulées par des utilisateurs ou des destinataires de données qui sont des personnes morales, et ce jusqu’à tant qu’un représentant légal soit désigné ou que les informations nécessaires soient fournies.
Article 31 bis
Assistance mutuelle
1. Les coordinateurs des données et la Commission coopèrent étroitement et se prêtent mutuellement assistance afin d’appliquer le présent règlement de manière cohérente et efficace. L’assistance mutuelle inclut notamment l’échange de toutes les informations prévues au présent article par voie électronique et l’obligation pour le coordinateur des données de l’État membre concerné d’informer l’ensemble des autorités compétentes et la Commission de l’ouverture d’une enquête.
2. Aux fins de l’enquête, le coordinateur des données du lieu d’établissement peut demander aux autres coordinateurs des données de fournir des informations spécifiques en leur possession ou d’exercer leurs pouvoirs d’enquête en lien avec des informations spécifiques disponibles dans leur État membre. Lorsqu’il y a lieu, le coordinateur des données qui reçoit une telle demande peut associer d’autres coordinateurs des données ou d’autres autorités publiques de l’État membre en question au processus.
3. Le coordinateur des données qui reçoit la demande d’assistance visée au paragraphe 2 se plie à cette demande et informe l’autorité compétente de l’État membre concerné des mesures prises, et ce, sans retard injustifié.
4. Le comité européen de l’innovation dans le domaine des données favorise l’échange mutuel d’informations entre les autorités compétentes, et conseille et assiste la Commission dans tous les domaines visés dans le présent règlement qui relèvent des compétences du comité conformément à l’article 30 du règlement (UE) 2022/868. Les coordinateurs des données représentent les États membres au comité européen de l’innovation dans le domaine des données institué par le règlement (UE) 2022/868.
Article 32
Droit d’introduire une réclamation auprès d’un coordinateur des données
1. Sans préjudice de tout autre recours administratif ou juridictionnel, les personnes physiques et morales ont le droit d’introduire une réclamation, individuellement ou ▌collectivement, auprès du coordinateur des données dans l’État membre dans lequel se trouve leur résidence habituelle, leur lieu de travail ou leur lieu d’établissement, si elles considèrent qu’il a été porté atteinte aux droits que leur confère le présent règlement. Une telle réclamation peut naître de la suspension du partage de données recensées comme secrets d’affaires, après réception d’une notification du détenteur de données au titre de l’article 4, paragraphe 3, de l’article 5, paragraphe 8, ou de l’article 19, paragraphe 2 ter.
2. Le coordinateur des données auprès duquel la réclamation a été introduite informe l’auteur de la réclamation, conformément au droit de l’État membre concerné, de l’état d’avancement de la procédure et de la décision prise.
3. Les autorités compétentes coopèrent dès le début de la procédure pour traiter et résoudre les réclamations de manière effective et en temps utile, y compris en fixant des délais raisonnables pour l’adoption de décisions officielles, en veillant à l’égalité des parties, en garantissant le droit d’être entendu des auteurs de réclamations ainsi que l’accès au dossier tout au long de la procédure et en échangeant toutes les informations pertinentes par voie électronique, dans les meilleurs délais. Cette coopération est sans effet sur le mécanisme de coopération spécifique prévu aux chapitres VI et VII du règlement (UE) 2016/679.
Article 32 bis
Représentation
1. Sans préjudice de la directive (UE) 2020/1828 ou de tout autre type de représentation au titre du droit de l’État membre concerné, les utilisateurs, les détenteurs de données et les destinataires de données ont au moins le droit de mandater un organisme, une organisation ou une association pour exercer pour leur compte les droits conférés par le présent règlement, pour autant que cet organisme, cette organisation ou cette association remplisse toutes les conditions suivantes:
a) il ou elle exerce ses activités sans but lucratif;
b) il ou elle a été convenablement constitué(e), conformément au droit d’un État membre;
c) ses objectifs statutaires comprennent un intérêt légitime à assurer le respect du présent règlement.
Article 32 ter
Droit à un recours juridictionnel effectif contre une autorité compétente
1. Sans préjudice de tout autre recours administratif ou extrajudiciaire, tout utilisateur, détenteur de données ou destinataire de données a le droit de former un recours juridictionnel effectif contre une décision juridiquement contraignante d’une autorité compétente qui le concerne.
2. Sans préjudice de tout autre recours administratif ou extrajudiciaire, tout utilisateur a le droit de former un recours juridictionnel effectif lorsque l’autorité compétente ne traite pas une plainte rapidement ou n’informe pas l’utilisateur, le détenteur de données ou le destinataire de données, dans un délai de trois mois, de l’état d’avancement ou de l’issue de la plainte introduite en application de l’article 32.
3. Les actions intentées contre une autorité compétente sont portées devant les juridictions de l’État membre de la résidence habituelle, du lieu de travail ou du lieu d’établissement de l’utilisateur ou de l’organisation qui le représente.
4. Dans le cas d’une action intentée contre une décision d’une autorité compétente qui a été précédée d’un avis ou d’une décision du comité dans le cadre du mécanisme de contrôle de la cohérence, l’autorité de contrôle transmet l’avis ou la décision en question à la juridiction.
Article 32 quater
Droit à un recours juridictionnel effectif
1. Sans préjudice de tout recours administratif ou extrajudiciaire qui lui est ouvert, y compris en vertu de la directive (UE) 2020/1828 et du droit d’introduire une réclamation auprès d’une autorité compétente au titre de l’article 32 ter, chaque utilisateur, détenteur de données et destinataire de données a droit à un recours juridictionnel effectif s’il considère que les droits que lui confère le présent règlement ont été bafoués du fait du non-respect du présent règlement.
2. Les actions intentées contre un détenteur de données, un tiers ou un destinataire de données sont portées devant les juridictions de l’État membre de la résidence habituelle, du lieu de travail ou du lieu d’établissement de l’utilisateur.
Article 33
Sanctions
1. Les États membres déterminent le régime des sanctions applicables aux violations du présent règlement et prennent toutes les mesures nécessaires pour assurer la mise en œuvre de ces sanctions. Les sanctions ainsi prévues sont effectives, proportionnées et dissuasives.
1 bis. Les États membres tiennent compte des critères non exhaustifs suivants pour l’imposition de sanctions en cas de violation du présent règlement:
a) la nature, la gravité, l’ampleur et la durée de l’infraction;
b) toute mesure prise par l’auteur de l’infraction afin d’atténuer le préjudice causé par l’infraction ou d’y remédier;
c) les éventuelles infractions antérieures commises par l’auteur de l’infraction;
d) les bénéfices financiers obtenus ou les pertes financières évitées par l’auteur de l’infraction à la suite de ladite infraction, dans la mesure où ces bénéfices ou pertes peuvent être établis de manière fiable;
e) toute autre circonstance aggravante ou atténuante applicable au cas concerné.
2. Les États membres informent la Commission, le comité européen de la protection des données et le comité européen de l’innovation dans le domaine des données, au plus tard le [date d’application du présent règlement], du régime ainsi déterminé et des mesures ainsi prises, de même que, sans retard, de toute modification apportée ultérieurement à ce régime ou à ces mesures. La Commission tient et met à jour régulièrement un registre public facilement accessible pour ces mesures.
3. En ce qui concerne les manquements aux obligations prévues aux chapitres II, III et V du présent règlement, les autorités de contrôle visées à l’article 51 du règlement (UE) 2016/679 peuvent, dans les limites de leur compétence, infliger des amendes administratives conformément à l’article 83 du règlement (UE) 2016/679, jusqu’à concurrence du montant visé à l’article 83, paragraphe 5, dudit règlement.
4. En ce qui concerne les manquements aux obligations prévues au chapitre V du présent règlement, l’autorité de contrôle visée à l’article 52 du règlement (UE) 2018/1725 peut, dans les limites de sa compétence, infliger des amendes administratives conformément à l’article 66 du règlement (UE) 2018/1725, à concurrence du montant visé à l’article 66, paragraphe 3, dudit règlement.
Article 34
Clauses contractuelles types
La Commission élabore et recommande des clauses contractuelles types non contraignantes concernant l’accès aux données et leur utilisation, ainsi que des clauses contractuelles classiques pour les contrats d’informatique en nuage, sur la base des principes FRAND (équitables, raisonnables et non discriminatoires), afin d’aider les parties à rédiger et à négocier des contrats garantissant l’équilibre des droits et obligations contractuels. Ces clauses contractuelles types se penchent au moins sur les éléments suivants:
a) le droit à une résiliation anticipée du contrat et les conditions d’indemnisation en cas de résiliation anticipée;
b) les politiques de conservation et de stockage des données;
c) la lisibilité des données pour l’utilisateur, y compris les informations sur les métadonnées et le décryptage;
d) la protection et la préservation de la confidentialité des secrets d’affaires conformément au présent règlement.
Sur demande, les clauses contractuelles types visées au premier alinéa sont publiées et mises gratuitement à disposition dans un format électronique facile d’utilisation.
CHAPITRE X
NON-APPLICABILITÉ DU DROIT «SUI GENERIS» PRÉVU PAR LA DIRECTIVE 96/9/CE AUX BASES DE DONNÉES CONTENANT CERTAINES DONNÉES
Article 35
Bases de données contenant certaines données
▌Le droit «sui generis» prévu par l’article 7 de la directive 96/9/CE ne s’applique pas aux bases de données contenant des données obtenues ou générées par l’utilisation d’un produit ou d’un service connexe qui relève du champ d’application du présent règlement.
CHAPITRE XI
DISPOSITIONS FINALES
Article 36
Modification du règlement (UE) 2017/2394
À l’annexe du règlement (UE) 2017/2394, le point suivant est ajouté:"
«29) [Règlement (UE) XXX du Parlement européen et du Conseil (règlement sur les données)].».
"
Article 37
Modification de la directive (UE) 2020/1828
À l’annexe I de la directive (UE) 2020/1828, le point suivant est ajouté:"
«67) [Règlement (UE) XXX du Parlement européen et du Conseil (règlement sur les données)].».
"
Article 38
Exercice de la délégation
1. Le pouvoir d’adopter des actes délégués conféré à la Commission est soumis aux conditions fixées dans le présent article.
2. Le pouvoir d’adopter des actes délégués visé à l’article 25, paragraphe 4, à l’article 28, paragraphe 2, et à l’article 29, paragraphe 5, est conféré à la Commission pour une durée indéterminée à compter du [...].
3. La délégation de pouvoir visée à l’article 25, paragraphe 4, à l’article 28, paragraphe 2, et à l’article 29, paragraphe 5, peut être révoquée à tout moment par le Parlement européen ou le Conseil. La décision de révocation met fin à la délégation de pouvoir qui y est précisée. La révocation prend effet le jour suivant celui de la publication de ladite décision au Journal officiel de l’Union européenne ou à une date ultérieure qui est précisée dans ladite décision. Elle ne porte pas atteinte à la validité des actes délégués déjà en vigueur.
4. Avant d’adopter un acte délégué, la Commission consulte des experts désignés par chaque État membre conformément aux principes énoncés dans l’accord interinstitutionnel «Mieux légiférer» du 13 avril 2016.
5. Aussitôt qu’elle adopte un acte délégué, la Commission le notifie simultanément au Parlement européen et au Conseil.
6. Un acte délégué adopté en vertu de l’article 25, paragraphe 4, de l’article 28, paragraphe 2, et de l’article 29, paragraphe 5, n’entre en vigueur que si le Parlement européen ou le Conseil n’a pas exprimé d’objections dans un délai de trois mois à compter de la notification de cet acte au Parlement européen et au Conseil ou si, avant l’expiration de ce délai, le Parlement européen et le Conseil ont tous deux informé la Commission de leur intention de ne pas exprimer d’objections. Ce délai est prolongé de trois mois à l’initiative du Parlement européen ou du Conseil.
Article 39
Procédure de comité
1. La Commission est assistée par un comité. Ledit comité est un comité au sens du règlement (UE) nº 182/2011.
2. Lorsqu’il est fait référence au présent paragraphe, l’article 5 du règlement (UE) nº 182/2011 s’applique.
Article 40
Autres actes juridiques de l’Union régissant les droits et obligations relatifs à l’accès aux données et à leur utilisation
1. Les obligations spécifiques relatives à la mise à disposition de données entre entreprises, entre entreprises et consommateurs, et, à titre exceptionnel, entre entreprises et organismes du secteur public, définies dans les actes juridiques de l’Union entrés en vigueur le [xx XXX xxx] ou avant cette date et dans les actes délégués ou d’exécution fondés sur ces actes, restent inchangées.
2. Le présent règlement est sans préjudice de la législation de l’Union spécifiant, à la lumière des besoins d’un secteur, d’un espace européen commun des données ou d’un domaine d’intérêt public, d’autres exigences, en particulier en ce qui concerne:
a) les aspects techniques de l’accès aux données;
b) les limitations des droits des détenteurs de données d’accéder à certaines données fournies par les utilisateurs ou de les utiliser;
c) les aspects allant au-delà de l’accès aux données et de leur utilisation.
Article 41
Évaluation et réexamen
1. Au plus tard le [deux ans après la date d’application du présent règlement], la Commission procède à une évaluation du présent règlement et présente ses principales conclusions dans un rapport au Parlement européen et au Conseil ainsi qu’au Comité économique et social européen. Cette évaluation porte, en particulier, sur les aspects suivants:
-a) l’utilisation de données par les utilisateurs, les détenteurs de données, les destinataires de données et des tiers, le développement des pratiques de monétisation dans l’économie des données en Europe, ainsi que l’évolution des modalités de partage de données, y compris la dynamique concurrentielle au sein des espaces de données et dans les services d’intermédiation de données;
-a bis) les effets des obligations techniques et administratives de mise en conformité avec le présent règlement, en particulier avec son chapitre II, sur les acteurs de l’industrie, également au regard des dérogations prévues pour les PME;
a) les autres catégories ou types de données devant être rendus accessibles;
b) l’exclusion de certaines catégories d’entreprises en tant que bénéficiaires au titre de l’article 5;
b bis) la question de savoir si les dispositions du présent règlement liées aux secrets d’affaires garantissent le respect des secrets d’affaires sans entraver l’accès aux données et leur partage; en particulier, l’évaluation examine si et comment la confidentialité des secrets d’affaires est garantie dans la pratique malgré leur divulgation à la fois dans le contexte du partage des données avec des tiers et dans le contexte de partage entre entreprises et administrations publiques. Cette évaluation est réalisée en étroite relation avec le rapport d’évaluation de la directive (UE) 2016/943 prévue pour le 9 juin 2026 en vertu de l’article 18, paragraphe 3, de ladite directive;
c) les autres situations devant être considérées comme des besoins exceptionnels aux fins de l’article 15;
d) les changements dans les pratiques contractuelles des fournisseurs de services de traitement des données et la question de savoir si cela se traduit par un respect suffisant de l’article 24;
e) la réduction des frais imposés par les fournisseurs de services de traitement des données pour le processus de changement, en concordance avec la suppression progressive des frais de changement de fournisseur en vertu de l’article 25;
e bis) les interactions entre le présent règlement et les autres dispositions applicables du droit de l’Union afin d’évaluer les éventuels conflits de réglementation, la surréglementation et les lacunes législatives;
e ter) la contribution du présent règlement à l’attractivité économique de la collecte et de l’utilisation d’ensembles de données de haute qualité par les entreprises européennes;
e quater) la contribution du présent règlement à l’innovation et aux mesures en faveur de l’essor de PME et de jeunes entreprises de haute technologie, ainsi qu’à la mise à la disposition des utilisateurs européens d’un accès à des services informatiques de pointe;
e quinquies) l’application et le fonctionnement de l’article 27 sur l’accès et le transfert internationaux des données.
1 bis. En fonction de ce rapport, la Commission présente au Parlement et au Conseil, le cas échéant, une proposition législative de modification du présent règlement.
Article 42
Entrée en vigueur et application
Le présent règlement entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne.
Il est applicable à partir du ... [18 mois après la date d’entrée en vigueur du présent règlement].
Les obligations découlant de l’article 4, paragraphe 1, s’appliquent aux services connexes mis sur le marché dans les cinq ans précédant l’entrée en vigueur du présent règlement, pour autant que le prestataire d’un service connexe soit capable de déployer à distance des mécanismes destinés à garantir le respect des obligations visées à l’article 4, paragraphe 1, et pour autant que le déploiement de tels mécanismes ne fasse pas peser un fardeau disproportionné sur le fabricant ou le prestataire de services connexes.
Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1).
Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) nº 45/2001 et la décision nº 1247/2002/CE (JO L 295 du 21.11.2018, p. 39).
Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (JO L 201 du 31.7.2002, p. 37).
3 Directive 2005/29/CE du Parlement européen et du Conseil du 11 mai 2005 relative aux pratiques commerciales déloyales des entreprises vis-à-vis des consommateurs dans le marché intérieur et modifiant la directive 84/450/CEE du Conseil et les directives 97/7/CE, 98/27/CE et 2002/65/CE du Parlement européen et du Conseil et le règlement (CE) nº 2006/2004 du Parlement européen et du Conseil («directive sur les pratiques commerciales déloyales») (JO L 149 du 11.6.2005, p. 22).
4 Directive 2011/83/UE du Parlement européen et du Conseil du 25 octobre 2011 relative aux droits des consommateurs, modifiant la directive 93/13/CEE du Conseil et la directive 1999/44/CE du Parlement européen et du Conseil et abrogeant la directive 85/577/CEE du Conseil et la directive 97/7/CE du Parlement européen et du Conseil.
5 Directive 93/13/CEE du Conseil du 5 avril 1993 concernant les clauses abusives dans les contrats conclus avec les consommateurs. Directive (UE) 2019/2161 du Parlement européen et du Conseil du 27 novembre 2019 modifiant la directive 93/13/CEE du Conseil et les directives 98/6/CE, 2005/29/CE et 2011/83/UE du Parlement européen et du Conseil en ce qui concerne une meilleure application et une modernisation des règles de l’Union en matière de protection des consommateurs.
6 Directive (UE) 2019/882 du Parlement européen et du Conseil du 17 avril 2019 relative aux exigences en matière d’accessibilité applicables aux produits et services (JO L 151 du 7.6.2019, p. 70).
Directive 2001/29/CE du Parlement européen et du Conseil du 22 mai 2001 sur l’harmonisation de certains aspects du droit d’auteur et des droits voisins dans la société de l’information (JO L 167 du 22.6.2001, p. 10).
Directive 2004/48/CE du Parlement européen et du Conseil du 29 avril 2004 relative au respect des droits de propriété intellectuelle (JO L 157 du 30.4.2004, p. 45).
Directive (UE) 2019/790 du Parlement européen et du Conseil du 17 avril 2019 sur le droit d’auteur et les droits voisins dans le marché unique numérique et modifiant les directives 96/9/CE et 2001/29/CE (JO L 130 du 17.5.2019, p. 92).
Règlement (UE) nº 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE (JO L 257 du 28.8.2014, p. 73).
Règlement (UE) 2022/868 du Parlement européen et du Conseil du 30 mai 2022 portant sur la gouvernance européenne des données et modifiant le règlement (UE) 2018/1724 (règlement sur la gouvernance des données) (JO L 152 du 3.6.2022, p. 1).
Directive 2009/24/CE du Parlement européen et du Conseil du 23 avril 2009 concernant la protection juridique des programmes d’ordinateur (JO L 111 du 5.5.2009, p. 16).
Directive (UE) 2016/943 du Parlement européen et du Conseil du 8 juin 2016 sur la protection des savoir-faire et des informations commerciales non divulgués (secrets d’affaires) contre l’obtention, l’utilisation et la divulgation illicites (JO L 157 du 15.6.2016, p. 1).
Règlement (UE) 2022/1925 du Parlement européen et du Conseil du 14 septembre 2022 relatif aux marchés contestables et équitables dans le secteur numérique et modifiant les directives (UE) 2019/1937 et (UE) 2020/1828 (règlement sur les marchés numériques) (JO L 265 du 12.10.2022, p. 1).
9 Directive (UE) 2019/1024 du Parlement européen et du Conseil du 20 juin 2019 concernant les données ouvertes et la réutilisation des informations du secteur public (JO L 172 du 26.6.2019, p. 56).
10 Directive 96/9/CE du Parlement européen et du Conseil du 11 mars 1996 concernant la protection juridique des bases de données (JO L 77 du 27.3.1996, p. 20).
Règlement (UE) 2017/1128 du Parlement européen et du Conseil du 14 juin 2017 relatif à la portabilité transfrontalière des services de contenu en ligne dans le marché intérieur, JO L 168 du 30.6.2017, p. 1.
11 Directive (UE) 2019/770 du Parlement européen et du Conseil du 20 mai 2019 relative à certains aspects concernant les contrats de fourniture de contenus numériques et de services numériques (JO L 136 du 22.5.2019, p. 1).
Règlement (UE) nº 1025/2012 du Parlement européen et du Conseil du 25 octobre 2012 relatif à la normalisation européenne, modifiant les directives 89/686/CEE et 93/15/CEE du Conseil ainsi que les directives 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE et 2009/105/CE du Parlement européen et du Conseil et abrogeant la décision 87/95/CEE du Conseil et la décision nº 1673/2006/CE du Parlement européen et du Conseil (JO L 316 du 14.11.2012, p. 12).
12 Règlement (UE) 2017/2394 du Parlement européen et du Conseil du 12 décembre 2017 sur la coopération entre les autorités nationales chargées de veiller à l’application de la législation en matière de protection des consommateurs et abrogeant le règlement (CE) nº 2006/2004 (JO L 345 du 27.12.2017, p. 1).
13 Directive (UE) 2020/1828 du Parlement européen et du Conseil du 25 novembre 2020 relative aux actions représentatives visant à protéger les intérêts collectifs des consommateurs et abrogeant la directive 2009/22/CE (JO L 409 du 4.12.2020, p. 1).
15 Règlement (UE) nº 182/2011 du Parlement européen et du Conseil du 16 février 2011 établissant les règles et principes généraux relatifs aux modalités de contrôle par les États membres de l’exercice des compétences d’exécution par la Commission (JO L 55 du 28.2.2011, p. 13).
16 Règlement (UE) 2021/784 du Parlement européen et du Conseil du 29 avril 2021 relatif à la lutte contre la diffusion de contenus à caractère terroriste en ligne (JO L 172 du 17.5.2021, p. 79).
Règlement (CE) nº 223/2009 du Parlement européen et du Conseil du 11 mars 2009 relatif aux statistiques européennes et abrogeant le règlement (CE, Euratom) nº 1101/2008 relatif à la transmission à l’Office statistique des Communautés européennes d’informations statistiques couvertes par le secret, le règlement (CE) nº 322/97 du Conseil relatif à la statistique communautaire et la décision 89/382/CEE, Euratom du Conseil instituant un comité du programme statistique des Communautés européennes (JO L 87 du 31.3.2009, p. 164).