Accès au service numérique de santé / Accès aux données / DATA ACT / IOT

Conditions de Partage des Données avec le Data Act

Posted by

Conditions de création de valeur à partir des données générées par l’utilisation d’IOT

Eléonore SCARAMOZZINO, AvocateConstellation Avocats

Le règlement sur les données (Data Act) est entré en vigueur le 11 janvier 2025 et commencera à s’appliquer dans l’UE le 12 septembre 2025. Il complète le Data Governance Act (Règlement sur la gouvernance des données), applicable depuis septembre 2023.

Alors que le règlement sur la gouvernance des données réglemente les processus et les structures qui facilitent le partage volontaire de données, le règlement sur les données précise qui peut créer de la valeur à partir des données et dans quelles conditions. Le règlement sur les données permet aux utilisateurs de produits connectés et de services connexes  d’accéder aux données qu’ils co-créent en utilisant les produits connectés/services connexes. Il établit des règles claires et équitables pour l’accès aux données et leur utilisation, générées par l’utilisation des objets connectés (IoT). Les produits connectés devront être conçus et fabriqués de manière à permettre aux utilisateurs (entreprises ou consommateurs) d’accéder, d’utiliser et de partager facilement et en toute sécurité les données générées par l’utilisation de ces objets connectés.

Le règlement est un acte législatif trans sectoriel (c’est-à-dire qu’elle énonce des principes et des lignes directrices qui s’appliquent à tous les secteurs). Il  ne modifie pas les obligations existantes en matière d’accès aux données, mais toute législation à venir devrait s’aligner sur ses principes. 

Champ d’application

Le Règlement sur les données est applicable

  • aux produits connectés (dont notamment les dispositifs médicaux et de remise en forme, machines industrielles ou agricoles) ;
  • services connexes (c’est-à-dire tout ce qui permettrait à un produit connecté de se comporter d’une manière spécifique, comme une application permettant d’ajuster la luminosité des lumières ou de réguler la température d’un réfrigérateur)

Principaux objectifs

L’un des principaux objectifs du règlement sur les données est de créer de l’équité dans l’économie fondée sur les données et de permettre aux utilisateurs de tirer parti des données qu’ils génèrent à l’aide des produits connectés qu’ils possèdent ou louent. Le règlement garantit une répartition équitable de la valeur des données entre les acteurs de l’économie fondée sur les données. Il précise qui peut utiliser quelles données et dans quelles conditions.

Le règlement sur les données

  •  donne aux utilisateurs de produits connectés (entreprises ou particuliers qui possèdent, louent ou louent un tel produit) un plus grand contrôle sur les données qu’ils génèrent,
  •  établit des conditions générales pour les situations dans lesquelles une entreprise a l’obligation légale de partager des données avec une autre entreprise ;
  • comprend des mesures visant à renforcer l’équité et la concurrence sur le marché européen du cloud computing ainsi qu’à protéger les entreprises contre les clauses contractuelles abusives liées au partage de données imposées par des acteurs plus puissants ;
  • établit également un mécanisme permettant aux organismes du secteur public de demander des données à une entreprise lorsqu’il existe un besoin exceptionnel, et prévoit des règles claires sur la manière dont ces demandes devraient être présentées ;
  • introduit des garanties pour éviter que des organismes publics de pays tiers puissent accéder à des données à caractère non personnel lorsque cela irait à l’encontre du droit de l’Union ou du droit national ;
  • définit des exigences essentielles en matière d’interopérabilité afin de garantir la fluidité des flux de données entre les secteurs et les États membres, ainsi qu’entre les fournisseurs de services de traitement des données. 
ChapitreContenuArticles
Chapitre I  Dispositions généralesChamp d’application + définitionsArticles 1-2
Chapitre II sur le partage de données B2B et B2C dans le contexte de l’internet des objets: Accès + utilisation + transfert par les utilisateurs d’objets IoT aux données générées grâce à l’utilisation d’un produit connecté.Articles 3-7
Chapitre III sur le partage de données entre entreprises: clarification des conditions de partage des données chaque fois qu’une entreprise est tenue par la loi ou le règlement sur les données, de partager des données avec une autre entreprise.Articles 8-12
Chapitre IV sur les clauses contractuelles abusives: protection des entreprises, en particulier les PME, contre les clauses contractuelles abusives qui leur sont imposées. Définition d’une clause abusiveArticle 13
Chapitre V sur le partage de données entre entreprises et administrations publiques (besoin exceptionnel)les organismes du secteur public seront en mesure de prendre des décisions plus fondées sur des données probantes dans certaines situations de besoin exceptionnel grâce à des mesures visant à accéder à certaines données détenues par le secteur privé.Articles 14-22
Chapitre VI relatif au changement de service de traitement de données : les fournisseurs de services cloud computing et d’informatique en périphérie doivent satisfaire à des exigences minimales pour faciliter l’interopérabilité et permettre le changement de fournisseur.Articles 23–31
Chapitre VII sur l’accès illicite des gouvernements de pays tiers aux données: les données à caractère non personnel stockées dans l’UE sont protégées contre les demandes d’accès illégales émanant de gouvernements étrangers.Article 32-
Chapitre VIII sur l’interopérabilité:  les participants aux espaces de données doivent satisfaire à des critères permettant aux données de circuler à l’intérieur des espaces de données et entre ceux-ci. Un répertoire de l’UE établira les normes et spécifications pertinentes pour l’interopérabilité de l’informatique en nuage.Articles 33-36
Chapitre IX sur l’exécution: Les États membres doivent désigner une ou plusieurs autorités compétentes pour contrôler et faire appliquer le règlement sur les données. Lorsque plusieurs autorités sont désignées, un «coordinateur de données» doit être désigné pour servir de point de contact unique au niveau national.Articles 37-42
Chapitre X Droit sui generis prévu par la directive 96/9/CEInapplication du droit sui generis des bases de données, lorsque les données sont obtenues à partir d’un produit connecté ou d’un service connexe relevant du règlement (en particulier articles 4 et 5)Articles 43

Principales nouvelles mesures

Chapitre II: Partage de données d’entreprise à entreprise et d’entreprise à consommateur dans le contexte du marché de l’IoT

Le règlement est applicable au partage des données entre les entreprises B2B et entre l’entreprise et le consommateur (B2C). Les données considérées sont les données brutes et prétraitées générées par l’utilisation d’un produit connecté ou d’un service lié facilement accessible au détenteur de données. Ces données doivent être facilement accessibles sans effort disproportionné. Le règlement s’étend aux données à caractère personnel et aux données non personnelles, y compris les métadonnées pertinentes. Les données peuvent être collectées à partir d’un capteur ou d’un groupe connecté de capteurs. En revanche, sont exclues les données et le contenu inférés ou dérivés. Les données hautement enrichies sont exclues de la réglementation. Les droits de propriété intellectuelle restent applicables. Le data Act est sans préjudice sur la règlementation sur la protection de la propriété intellectuelle.

Les droits de l’utilisateur d’un objet connecté (IOT)

Si l’utilisateur souhaite partager ces données avec une autre entité ou une autre personne («tiers»), il peut le faire directement ou demander au détenteur de données de les partager avec un tiers de son choix (à l’exclusion des contrôleurs d’accès au titre du Digital Markets Act (DMA) (règlement EU 2022/1925 du 14 septembre 2022, qui ne sont pas des tiers éligibles).

Contrat entre le détenteur de données et l’utilisateur peut-être :

  • un contrat de vente
  • un contrat de location
  • un contrat de location
  • un contrat de service lié,
  • etc…

Avec l’entrée en vigueur du règlement ce contrat doit définir :

  • les droits d’accès,
  • droits d’utilisation,
  • condition de partage des données générées par le produit connecté ou le service lié.

Le détenteur de données ne peut utiliser aucune donnée à caractère non personnel générée par le produit ou le service lié sans l’accord de l’utilisateur. Le détenteur de données (généralement le fabricant de l’IOT ou le fournisseur de service connexe) doit :

  • fournir à l’utilisateur des informations sur le type de données qu’ils généreront lors de l’utilisation du produit connecté ou du service connexe (y compris le volume, la fréquence de collecte, etc.);
  • mettre à disposition du demandeur (utilisateur ou tiers éligible) les données générées par son utilisation de l’objet connecté. Le détenteur de données (Data Holder) doit avoir contractualisé avec l’utilisateur.
  • Pas d’obligation pour un détenteur de données de partager des données avec des tiers établis en dehors de l’UE.

Les micro et petites entreprises, en tant que fabricants ou prestataires de services connexes, ne sont pas soumises aux mêmes obligations que les grandes entreprises.

Quelles sont les Limitations ?

  • limitation d’utilisation & concurrence : les données obtenues dans le cadre de l’obligation de mise de partage des données générées par l’utilisation de l’IOT ne doivent pas être utilisées pour développer un produit connecté concurrent ;
  • limitation de mise à disposition & Respect du RGPD. Lorsque l’utilisateur n’est pas la personne concernée dont les données sont demandées, les données à caractère personnel ne peuvent être mises à disposition que s’il existe une base juridique valable (par exemple, le consentement). Dans le cas des données issues de l’utilisation des IOT. Il est difficile de séparer les données personnelles des données non personnelles.
  • Limitation du partage & Respect du secret d’affaire : Le détenteur de données et l’utilisateur/le tiers peuvent convenir de certaines mesures visant à préserver la confidentialité des secrets d’affaires. Lorsque ces mesures ne sont pas respectées, le détenteur de données peut refuser ou suspendre le partage de données, s’il peut démontrer qu’il est très susceptible de subir un préjudice économique grave du fait de la divulgation de secrets d’affaires.
  • limitation du partage & Exigences de sécurité : cause de limitation du partage des données. Le détenteur de données et l’utilisateur peuvent convenir de limiter le partage de données s’il existe un risque que les exigences de sécurité du produit connecté soient compromises, entraînant des effets néfastes graves pour la santé, la sûreté ou la sécurité des personnes. Ces exigences doivent être prévues par le droit de l’Union ou le droit national.

Refus de partage des données : obligation d’information de l’AC

Si le détenteur de données suspend, refuse de partager des données pour des raisons de protection des secrets d’affaires ou de sécurité, il doit en informer l’autorité nationale compétente. Les utilisateurs peuvent contester une telle décision, soit devant la juridiction compétente d’un État membre, soit au moyen d’une réclamation auprès de l’autorité compétente, soit en accord avec le détenteur de données devant un organisme de règlement des litiges.

Chapitre III: Obligations relatives au partage de données entre entreprises B2B

Le Data Act introduit des règles pour régir les situations dans lesquelles le «détenteur de données» a l’obligation, en vertu du droit de l’Union ou du droit national, de mettre à la disposition d’un «destinataire de données», les données générées par l’usage de l’IOT. Les modalités et conditions de partage des données doivent être :

  • équitables,
  • raisonnables
  • non discriminatoires.

Les détenteurs de données qui sont tenus de partager des données peuvent demander une «compensation raisonnable» pour la mise à disposition des données au destinataire des données. Cette compensation pourrait comprendre les coûts liés à la mise à disposition des données ainsi que les coûts techniques liés à la diffusion et au stockage. Toutefois, les microentreprises, les PME et les organismes de recherche à but non lucratif ne peuvent pas être facturés au-delà des coûts supportés pour la mise à disposition des données. Les données pouvant être mises à disposition sont les données à caractère personnel et non personnel, détenues par une entreprise, sous réserve des conditions énoncées ci-dessus chapitre II.

Mesures techniques de protection relatives à l’utilisation ou à la divulgation non autorisées de données.

Le règlement prévoit les mesures techniques de protection relatives à l’utilisation ou à la divulgation non autorisées de données.

Il est précisé à l’article 11 que

  • ces mesures peuvent comprendre des contrats intelligents et le chiffrement, afin d’empêcher l’accès non autorisé aux données, y compris les métadonnées ;
  • les utilisateurs, les tiers et les destinataires de données ne modifient pas ni ne suppriment de telles mesures techniques de protection, sauf accord du détenteur de données ;
  • Dans certaines circonstances, les tiers et les destinataires de données doivent sur demande du détenteur de données ou du détenteur du secret d’affaires, effacer les données mises à disposition, et éventuellement les copies, de mettre fin à l’utilisation de ces données et des services ou les biens qui en sont issus, lorsqu’il existe un risque que l’utilisation illicite de ces données cause un préjudice important au détenteur de données ou au détenteur de secrets d’affaires ou à l’utilisateur ;
  •  Le destinataire de données ou le tiers doit informer l’utilisateur de l’utilisation non autorisée des données et des mesures adoptées pour y remédier ;
  • une indemnisation de la partie lésée ;
  • Les obligations de partage de données antérieures au data Act restent inchangées.

Les obligations de la future législation (sectorielle) devraient être alignées sur les dispositions du chapitre III du règlement.

Chapitre IV: Clauses contractuelles abusives relatives à l’accès aux données et à l’utilisation des données B2B

Le Data Act vise à protéger toutes les entreprises européennes dans l’acquisition des données et en particulier les PME, contre les clauses contractuelles abusives grâce à ses mesures visant à intervenir dans des situations où, par exemple, l’une des entreprises est dans une position de négociation plus forte et impose une clause non négociable («take-it-or-leave-it») liée à l’accès aux données et à leur utilisation. Cette clause est applicable à toutes les données (personnelles et non personnelles) détenues par une entreprise qui a conclu un contrat B2B.

Selon l’article 13.3, une clause contractuelle est abusive « si elle est d’une nature telle que son utilisation s’écarte manifestement des bonnes pratiques commerciales en matière d’accès aux données et d’utilisation des données, contrairement à la bonne foi et à un usage loyal ». L’article 13 liste les clauses qui sont considérées comme abusives et les clauses présumées abusives.

2 conditions cumulatives pour qu’une clause soit considérée comme imposée unilatéralement au sens de l’article 13

  • la clause a été fournie par une partie contractante et
  • l’autre partie contractante n’a pas été en mesure d’influencer son contenu malgré une tentative de négociation.

Il appartient à la partie contractante qui a fourni la clause contractuelle de prouver que cette clause n’a pas été imposée unilatéralement.

Si une clause est considérée comme abusive, elle n’est plus valide et si possible, elle est simplement dissociée du contrat.

Chapitre V: Partage de données entre entreprises et gouvernements : « besoin exceptionnel »

Les données détenues par des entités privées peuvent être essentielles pour qu’un organisme du secteur public entreprenne une mission d’intérêt public. Le règlement permet aux organismes du secteur public d’accéder à ces données, sous certaines conditions, lorsqu’il existe un besoin exceptionnel. 

Le besoin exceptionnel d’utiliser les données est réputé exister uniquement dans les cas suivants :

L’obligation de démontrer que l’organisme du secteur public n’a pas été en mesure d’obtenir des données à caractère non personnel en les achetant sur le marché ne s’applique pas lorsque la mission spécifique exécutée dans l’intérêt public consiste en la production de statistiques officielles et que l’achat de ces données n’est pas autorisé par le droit national.

Le Data Act garantira que les autorités publiques ont accès à ces données en temps utile et de manière fiable, sans imposer de charge administrative excessive aux entreprises.

Qui peut demander les données ?

Les entités habilitées à demander des données comprennent les organismes du secteur public des États membres ainsi que certaines institutions, organes et agences de l’UE. Ces entités peuvent également partager les données avec des organismes de recherche et de financement sous certaines conditions.

Dans le contexte des demandes interentreprises, les détenteurs de données sont généralement des entités privées, mais peuvent également inclure des entreprises publiques.

Dans la pratique, un organisme du secteur public peut, sous certaines conditions, obliger un détenteur de données à mettre à disposition certaines données sans retard injustifié pour répondre à une urgence publique. Le règlement définit une urgence publique; mais son existence est déterminée par des procédures ou des lois nationales ou européennes.

Pour des besoins exceptionnels qui ne sont pas liés à une urgence publique, un organisme du secteur public peut demander des données à caractère non personnel pour remplir une mission spécifique d’intérêt public qui a été prévue par la loi, si l’organisme du secteur public peut prouver qu’il n’a pas été en mesure d’accéder aux données par d’autres moyens.

Dans les deux cas (d’urgence et non d’urgence), les demandes doivent respecter un certain nombre de principes et de conditions stricts

  • les demandes doivent être spécifiques, transparentes et proportionnées,
  •  les secrets d’affaires doivent être protégés ,
  •  les données doivent être supprimées dès qu’elles ne sont plus nécessaires.

Compensation pour la mise à disposition de données au titre du chapitre V de la loi sur les données

 Les entreprises autres que les micro et petites entreprises peuvent demander:Les micro et petites entreprises peuvent demander:
Scénario 1 Urgence publiqueLes entreprises peuvent demander que leur contribution en matière de données soit reconnue et publiquement reconnue par l’organisme du secteur public destinataire.Rémunération raisonnable ne dépassant pas les coûts techniques et organisationnels encourus + accusé de réception public, sur demande
Scénario 2 Situation non urgenteRémunération raisonnable n’excédant pas les coûts techniques et organisationnels encourus (à l’exception de la production de statistiques officielles)S/O (exempté de l’obligation de fournir des données)

Afin de réduire au minimum la charge pesant sur les entreprises, les mêmes données ne peuvent pas être demandées plus d’une fois («principe d’une seule fois») par plus d’un organisme du secteur public. Pour cette raison, toutes les demandes doivent être rendues publiques par le coordinateur des données (sauf en cas de problème de sécurité).

Chapitre VI: Passage d’un service de traitement de données à un autre

Afin de garantir un marché concurrentiel dans l’UE, les clients des services de traitement des données devraient pouvoir passer d’un fournisseur à un autre de manière transparente. Cependant, les clients sont actuellement confrontés à un certain nombre d’obstacles, à la sortie de données, à des procédures longues et à un manque d’interopérabilité entre les fournisseurs pouvant entraîner une perte de données et d’applications. Le Règlement impose aux fournisseurs de services de traitement de données de supprimer les obstacles précommerciaux, commerciaux, techniques, contractuels et organisationnels, qui freinent les clients dans les démarches. Le règlement prévoit que les contrats de cloud computing doit contenir des clauses contractuelles visant à garantir que les clients peuvent passer d’un fournisseur de services de traitement de données (le «fournisseur source») à un autre fournisseur (le «destination») rapidement et sans heurts, et sans perdre aucune donnée ni la fonctionnalité des applications.

A titre d’exemple :

  • les fournisseurs de plate-forme et de logiciel en tant que service doivent mettre à disposition des interfaces ouvertes et, au minimum, exporter les données dans un format couramment utilisé et lisible par machine.
  • Les fournisseurs d’infrastructure en tant que service doivent prendre des mesures pour faire en sorte que, lorsqu’un client passe à un service du même type, le client obtienne des résultats matériellement comparables en réponse à la même entrée pour des fonctionnalités que les deux services partagent («équivalence fonctionnelle»).
  • Tous les fournisseurs sont tenus de supprimer les obstacles auxquels leurs clients peuvent être confrontés lorsqu’ils souhaitent passer à un autre fournisseur ou utiliser plusieurs services en même temps.

Le Règlement supprimera également entièrement les frais de changement de fournisseur, y compris les frais de sortie de données (c’est-à-dire les frais de transit de données), à partir du 12 janvier 2027.

Chapitre VII: Accès illégal des gouvernements de pays tiers

Le règlement suit l’acte sur la gouvernance des données en ce qui concerne les dispositions visant à empêcher l’accès et le transfert illégaux par les pouvoirs publics de pays tiers de données à caractère non personnel détenues dans l’UE, par un fournisseur d’un service de traitement des données. Ces dispositions n’ont aucune incidence sur le partage régulier de données entre entreprises. Elles renforcent la transparence et la sécurité juridique en ce qui concerne le processus et les conditions dans lesquels les données à caractère non personnel peuvent être consultées par des organes gouvernementaux de pays tiers ou transférées à ceux-ci.

Le règlement n’interdit pas les flux transfrontières de données, mais garantit que la protection accordée aux données dans l’UE voyage avec toutes les données transférées en dehors de l’UE. L’article 32 établit des règles et des garanties pour les demandes d’accès d’un organisme du secteur public étranger à des données à caractère non personnel détenues dans l’Union. Ces dispositions ne portent pas atteinte à la coopération internationale légitime en matière répressive.

En l’absence d’accord international réglementant l’accès d’un gouvernement d’un pays tiers à des données à caractère non personnel situées dans l’UE, les données ne peuvent être transférées ou consultées que dans des conditions spécifiques.

Ces conditions font référence à certaines garanties garantissant les droits européens qui doivent être remplies par l’ordre juridique du pays tiers, y compris l’obligation d’exposer les motifs et d’évaluer la proportionnalité dans la décision.

Lignes directrices sur l’évaluation du respect des 3 conditions en préparation

Pour aider à évaluer si ces conditions ont été remplies, la Commission européenne élaborera des lignes directrices en collaboration avec le comité européen de l’innovation dans le domaine des données (un groupe d’experts créé en vertu de l’Acte sur la Gouvernance des données  afin de faciliter le partage des bonnes pratiques et de donner la priorité aux normes d’interopérabilité intersectorielles).

Obligations des fournisseurs

Les fournisseurs de services de traitement des données devraient prendre toutes les mesures raisonnables (par exemple, cryptage, audits, respect des systèmes de certification) pour empêcher l’accès aux systèmes dans lesquels ils stockent des données à caractère non personnel. Ces mesures devraient être publiées sur leurs sites web. En outre, dans la mesure du possible, ils devraient informer leurs clients avant de leur donner accès à leurs données.

Chapitre VIII: Interopérabilité

Le règlement établit certaines exigences essentielles auxquelles les participants aux espaces de données doivent se conformer et qui peuvent être précisées par la Commission européenne au moyen d’actes délégués. Elle vise également à garantir l’interopérabilité entre les services de traitement des données, nécessaire pour faciliter un changement de fournisseur.

Les exigences essentielles concernant l’intéropérabilité s’adresse :

  • aux mécanismes et services de partage des données ;
  • aux espaces européens communs de données ;
  • aux fournisseurs de contrats intelligents pour l’exécution des accords de partage de données ;
  • aux fournisseurs de services de traitement de données.

L’article 36 du règlement précise les exigences essentielles relatives aux contrats intelligents pour l’exécution des accords de partage de données.

Les contrats intelligents seront considérés comme conformes au règlement des données s’ils respectent les exigences suivants :

robustesse et contrôle de l’accès,pour veiller à ce que le contrat intelligent ait été conçu de manière à offrir des mécanismes de contrôle d’accès et un degré très élevé de robustesse afin d’éviter des erreurs fonctionnelles et de résister aux tentatives de manipulation par des tiers;
résiliation et interruption en toute sécurité,pour veiller à ce qu’il existe un mécanisme permettant de mettre fin à l’exécution continue des transactions et à ce que le contrat intelligent intègre des fonctions internes qui peuvent réinitialiser le contrat ou lui donner instruction de cesser ou d’interrompre l’opération, en particulier pour éviter de futures exécutions accidentelles;
archivage et continuité des données,pour garantir, dans les circonstances dans lesquelles un contrat intelligent doit être résilié ou désactivé, qu’il y a la possibilité d’archiver les données relatives aux transactions, la logique et le code du contrat intelligent afin de conserver l’enregistrement des opérations effectuées sur les données dans le passé (vérifiabilité);
contrôle de l’accès,pour garantir qu’un contrat intelligent est protégé par des mécanismes rigoureux de contrôle d’accès au niveau de la gouvernance et des contrats intelligents;
cohérence, pour assurer la cohérence avec les dispositions de l’accord de partage de données que le contrat intelligent exécute.

Le vendeur d’un contrat intelligent pour l’exécution d’un accord ou d’une partie d’un accord de mise à disposition des données, procède à une évaluation de la conformité en vue de satisfaire aux exigences essentielles mentionnées ci-dessus, et délivre une déclaration UE de conformité.

Un contrat intelligent qui satisfait aux normes harmonisées ou aux parties concernées de celles-ci est présumé être en conformité avec les exigences essentielles prévues au paragraphe 1, dans la mesure où ces exigences sont couvertes par de telles normes harmonisées ou des parties de celles-ci.

Le règlement sur les données prépare également le terrain pour accroître l’interopérabilité des services de traitement des données au moyen de normes harmonisées et de spécifications d’interopérabilité ouvertes. Il établit des exigences pour les fournisseurs de contrats intelligents pour l’exécution automatisée des accords de partage de données, par exemple pour s’assurer qu’ils appliquent correctement les dispositions de l’accord de partage de données et résistent à la manipulation par des tiers.

La Commission évaluera les obstacles à l’interopérabilité et hiérarchisera les besoins en matière de normalisation, sur la base desquels elle pourra demander à un ou plusieurs organismes européens de normalisation d’élaborer des normes harmonisées conformes aux exigences décrites dans ce chapitre VIII.

Chapitre IX: Application et dispositions générales

Les États membres désigneront une ou plusieurs autorités compétentes (nouvelles ou existantes) pour assurer la mise en œuvre efficace du règlement sur les données. Lorsqu’il existe plusieurs autorités compétentes, les États membres doivent désigner l’une d’entre elles en tant que «coordinateur de données». 

Le coordinateur des données fera office de «guichet unique» pour toutes les questions liées à la mise en œuvre de la législation sur les données au niveau national, facilitant ainsi son application tant pour les entreprises que pour les autorités publiques. Le coordinateur des données facilitera également la collaboration dans les situations transfrontières, par exemple lorsqu’une autorité compétente d’un État membre donné ne sait pas quelle autorité elle devrait contacter dans l’État membre du coordinateur des données. La Commission tiendra un registre public des autorités compétentes et des coordonnateurs de données.

 Comité européen des données

Le Comité européen des données (European Data Innovation Board) a été créé, conformément à l’article 29 du règlement, comme un groupe d’experts, et notamment pour les domaines de normalisation et d’interopérabilité. Le comité européen de l’innovation en matière de données devrait aider la Commission à coordonner les pratiques et les politiques nationales ainsi qu’à utiliser les données de manière intersectorielle, y compris en utilisant des normes et des spécifications, sans avoir d’incidence sur les travaux de normalisation menés dans des secteurs ou des domaines spécifiques.  Il est composé de représentants des États membres, du comité européen de la protection des données, du contrôleur européen de la protection des données, de l’Agence de l’Union européenne pour la cybersécurité, de l’envoyé de l’UE pour les PME ou d’un représentant désigné par le réseau des représentants des PME, ainsi que d’autres représentants d’organismes compétents dans des secteurs spécifiques et d’organismes ayant une expertise spécifique

Les sanctions nationales

Les sanctions sont fixées par les autorités compétentes au niveau national et, conformément au règlement. Les sanctions devront être effectives, proportionnées et dissuasives. Les Etats membres devront informer la Commission européenne, au plus tard le 12 septembre 2025, du régime ainsi déterminé et des mesures ainsi prises, de même que, sans retard, de toute modification apportée ultérieurement à ce régime ou à ces mesures. La Commission tient et met à jour régulièrement un registre public facilement accessible de ces mesures.

Selon l’article 42, pour l’imposition de sanctions en cas de violation du règlement, les États membres tiennent compte des recommandations du comité européen de l’innovation dans le domaine des données et des critères non exhaustifs suivants la nature, la gravité, l’ampleur et la durée de l’infraction :

  1. toute mesure prise par l’auteur de l’infraction pour atténuer ou réparer le préjudice causé par l’infraction;
  2. toute infraction antérieure commise par l’auteur de l’infraction;
  3. les avantages financiers obtenus ou les pertes évitées par l’auteur de l’infraction en raison de l’infraction, si ces avantages ou pertes peuvent être établis de manière fiable;
  4. toute autre circonstance aggravante ou atténuante applicable au cas concerné;
  5. le chiffre d’affaires annuel réalisé par l’auteur de l’infraction au cours de l’exercice précédent dans l’Union.

Les États membres peuvent, s’ils le souhaitent, mettre en place des organismes certifiés de règlement des litiges pour aider les parties qui ne peuvent convenir de conditions équitables, raisonnables et non discriminatoires pour la mise à disposition des données. Les parties sont libres de s’adresser à tout organisme de règlement des différends, soit dans l’État membre dans lequel elles sont établies, soit dans un autre État membre.

Des mécanismes certifiés de règlement des litiges et des autorités compétentes spécialisées permettront aux entreprises, en particulier aux petites entreprises, de faire valoir plus facilement leurs droits au titre de la loi sur les données, car ils offrent une solution simple, rapide et peu coûteuse aux parties concernées.

NEXT STEP

Clauses contractuelles types et clauses contractuelles standard

Avant le 12 septembre 2025, la Commission élabore et recommande des clauses contractuelles types non contraignantes concernant

  • l’accès aux données et l’utilisation des données,
  • la compensation raisonnable et à la protection des secrets d’affaires,
  • les contrats de cloud computing, afin d’aider les parties à rédiger et à négocier des contrats garantissant des droits et obligations contractuels équitables, raisonnables et non discriminatoires

Evaluation de l’incidence de la législation sur les données

Dans un délai de trois ans à compter de son entrée en application, la Commission procédera à une évaluation de l’incidence de la législation sur les données. Sur cette base, la Commission peut, le cas échéant, proposer une modification du règlement. 

Constellation Avocats- Overview DATA ACTTélécharger

Laisser un commentaire