Accès au service numérique de santé / Accès aux données / DATA ACT / détenteur de données / détenteur de données Utilisateur de données

DATA ACT : DECRYPTAGE DU REGLEMENT SUR LES DONNEES (Episode 1)

Posted by

Episode 1 : Focus sur les data, les produits connectés et services connexes concernés par l’obligation de partage ? (I)

Data « IN » vs DATA « OUT”, Produit connecté “IN” vs Produit connecté “OUT”, Service connexe “IN” vs service connecté “OUT”

Eléonore Scaramozzino, Avocate, Constellation Avocats

Le 12 septembre 2025  est arrivé, le DATA ACT ou le règlement EU 2023/2584 concernant des règles harmonisées portant sur l’équité de l’accès aux données et de l’utilisation des données et modifiant le règlement (UE) 2017/2394 et la directive (UE) 2020/1828 (règlement sur les données)  est entré en application, dès lors les produits sur le marché doivent permettre à l’utilisateur d’accéder aux données.

Le règlement sur les données complète le règlement sur la gouvernance des données, premier élément livrable de la stratégie européenne pour les données. Le règlement sur la gouvernance des données est entré en vigueur en septembre 2023. Alors que le règlement sur la gouvernance des données renforce la confiance dans les mécanismes volontaires de partage des données, le règlement sur les données apporte une clarté juridique en ce qui concerne l’accès aux données et leur utilisation.

La Commission européenne a publié le 12 septembre 2025 la version 1.3 du Frequently Asked Questions (FAQ). Ce document est un « living document », destiné à être mis à jour aussi souvent que cela est nécessaire afin d’assister les parties prenantes à mettre en œuvre les dispositions légales.

L’objectif de cette série de focus sur les différentes questions traitées par le règlement EU 2023/2584 concernant des règles harmonisées portant sur l’équité de l’accès aux données et de l’utilisation des données (règlement sur les données) est de décrypter cette réglementation pour vous faciliter sa mise en œuvre.

Cet épisode 1 dédié aux data entrant dans le champ d’application du DATA ACT vise à préciser

  •  les data « in » les data « out » ;
  •  produit connecté « in » produit connecté « out »
  • service connexe « in » ou service connexe « out »

DATA « IN » /DATA « OUT »

Objectif du règlement sur les données :

  • permettre le traitement des données par un plus grand nombre d’acteurs : Utilisateur et les tiers choisis par l’utilisateur peuvent avoir accès
    • aux données générées par l’usage d’un IOT
    • aux données d’un service connexe.

Nécessité d’un cadre contractuel pour l’utilisation des données non personnelles

Utilisation des données non personnelle : « Contrat Détenteur de données et l’Utilisateur »

Lorsque le fabricant d’un produit connecté est un détenteur de données, l’utilisation de données à caractère non personnel par le fabricant devrait être fondée sur un contrat entre le fabricant et l’utilisateur. Un tel contrat pourrait faire partie d’un accord pour la fourniture du service connexe, qui pourrait être fourni en même temps que le contrat d’achat, de location ou de crédit-bail relatif au produit connecté.   Toute clause contractuelle stipulant que le détenteur de données peut utiliser les données relatives à un produit ou à un service connexe devrait être transparente pour l’utilisateur, y compris en ce qui concerne les finalités pour lesquelles le détenteur de données a l’intention d’utiliser ces données. Ces finalités pourraient inclure l’amélioration du fonctionnement du produit connecté ou des services connexes, le développement de nouveaux produits ou services, ou l’agrégation de données dans le but de mettre les données déduites qui en résultent à la disposition de tiers, pour autant que ces données déduites ne permettent pas d’identifier des données spécifiques transmises au détenteur de données à partir du produit connecté, ou ne permettent pas à un tiers de déduire ces données de l’ensemble de données.   Toute modification du contrat devrait dépendre de l’accord éclairé de l’utilisateur.  

Le DATA ACT n’empêche pas

les parties de s’accorder sur des clauses contractuelles ayant pour effet d’exclure ou de limiter l’utilisation de données à caractère non personnel, ou de certaines catégories d’entre elles, par le détenteur de données ;   les parties de convenir de mettre des données relatives au produit ou des données relatives au service connexe à la disposition de tiers, que ce soit directement ou indirectement, y compris, le cas échéant, par l’intermédiaire d’un autre détenteur de données ;   le respect des exigences réglementaires sectorielles prévues par le droit de l’Union, ou par le droit national compatible avec le droit de l’Union, qui excluraient ou limiteraient l’utilisation de certaines de ces données par le détenteur de données pour des motifs d’ordre public bien définis ;   aux utilisateurs, dans le cas de relations entre entreprises, de mettre des données à la disposition de tiers ou de détenteurs de données en vertu de toute disposition contractuelle légale, y compris en acceptant de limiter ou de restreindre le partage ultérieur de ces données, ou d’être indemnisés proportionnellement, par exemple en échange d’une renonciation à leur droit d’utiliser ou de partager ces données. Bien que la notion de « détenteur de données » n’inclue généralement pas les organismes du secteur public, elle peut inclure les entreprises publiques.    

Quelles sont les données qui peuvent être accessibles à ces utilisateurs ? DATA IN /DATA OUT

Données de service : DATA IN

Considérant 15

  • Données in : Les données relatives au produit désignant les données générées par l’utilisation d’un produit connecté que le fabricant a conçues pour pouvoir être extraites du produit connecté par un utilisateur, un détenteur de données ou un tiers, y compris, le cas échéant, le fabricant.
  • Données out : les informations dérivées ou déduites de ces données, qui sont le résultat d’investissements supplémentaires dans l’attribution de valeurs ou d’informations tirées des données, en particulier au moyen d’algorithmes complexes et propriétaires, y compris ceux qui font partie d’un logiciel propriétaire, sauf accord contraire entre l’utilisateur et le détenteur de données. Ces données pourraient comprendre en particulier les informations obtenues au moyen de la fusion de capteurs, qui infère ou déduit des données provenant de capteurs multiples, collectées dans le produit connecté, au moyen d’algorithmes complexes et propriétaires, et qui pourraient être soumises à des droits de propriété intellectuelle.

Données facilement disponibles (art 2.17)

Données sur les produits et données de services connexes qu’un détenteur de données peut obtenir sans effort disproportionné allant au-delà d’une simple opération. La définition de « données facilement accessibles » ne fait pas référence au moment de leur génération ou de leur collecte.

Seules les données générées/collectées après l’entrée en vigueur de la loi sur les données sont considérées comme relevant du champ d’application du chapitre II.

Obligation de rendre les données accessibles : obligation de conception pour le fabricant (traité dans l’épisode dédié aux obligations du fabricant)

  • Les produits connectés doivent être conçus et fabriqués, idem pour les services connexes, de telle manière que l’utilisateur dispose toujours d’un accès facile et sécurisé aux données relatives au produit et aux données relatives au service connexe, y compris aux métadonnées correspondantes nécessaires pour interpréter et utiliser ces données, notamment aux fins d’extraction, d’utilisation ou de partage des données, et ce gratuitement, dans un format complet, structuré, couramment utilisé et lisible par machine.
  • Pas d’obligation de stocker des données dans l’unité informatique centrale d’un produit connecté.
  • Les obligations en matière de conception prévues par le présent règlement sont également sans préjudice du principe de minimisation des données énoncé à l’article 5, paragraphe 1, point c), du règlement (UE) 2016/679
  • Pas d’obligation de concevoir des produits connectés et des services connexes de telle manière qu’ils stockent ou traitent d’une autre manière des données à caractère personnel autres que les données à caractère personnel nécessaires en ce qui concerne les finalités pour lesquelles elles sont traitées.
  • Lorsque des mises à jour ou des modifications ultérieures d’un produit connecté ou d’un service connexe, par le fabricant ou une autre partie, aboutissent à une augmentation des données accessibles ou à une limitation des données initialement accessibles, ces modifications devraient être communiquées à l’utilisateur dans le cadre de la mise à jour ou de la modification.

En cas de plusieurs utilisateurs : compte utilisateur/application mobile

  • l’interface pertinente, devrait permettre à chaque utilisateur d’avoir accès aux données qu’ils génèrent (compte utilisateur) Les fabricants ou concepteurs d’un produit connecté qui est généralement utilisé par plusieurs personnes devraient mettre en place les mécanismes nécessaires permettant la coexistence de comptes d’utilisateur distincts pour différentes personnes, le cas échéant, ou permettant à plusieurs personnes d’utiliser le même compte d’utilisateur. L’accès devrait être accordé à l’utilisateur sur la base d’un mécanisme de simple demande permettant l’exécution automatique, sans que le fabricant ou le détenteur de données ne soit tenu d’examiner ou d’approuver la demande. Lorsqu’il n’est pas possible de procéder à l’exécution automatique de la demande concernant l’accès aux données, par exemple au moyen d’un compte d’utilisateur ou d’une application mobile correspondante fournie avec le produit connecté ou le service connexe, le fabricant informe l’utilisateur des modalités d’accès aux données.

Données protégées par les secrets commerciaux : DATA OUT /« Frein à main des secrets commerciaux » : Exception au droit d’accès Articles 4(6) et 5(9),

Directive (UE) 2016/943 du Parlement européen et du Conseil du 8 juin 2016 sur la protection des savoir-faire et des informations commerciales non divulgués (secrets d’affaires) contre l’obtention, l’utilisation et la divulgation illicites (JO L 157 du 15.6.2016, p. 1)

Le DATA ACT doit être interprété de manière à préserver la protection accordée aux secrets d’affaires au titre de la directive (UE) 2016/943.

Article 4.6 Droits et obligations des utilisateurs et des détenteurs de données concernant l’accès aux données relatives au produit et aux données relatives au service connexe, leur utilisation et leur mise à disposition

Les secrets d’affaires sont préservés et ne sont divulgués que lorsque le détenteur de données et l’utilisateur prennent toutes les mesures nécessaires avant la divulgation pour préserver leur confidentialité, en particulier en ce qui concerne les tiers. Le détenteur de données ou, s’il ne s’agit pas de la même personne, le détenteur de secrets d’affaires recense les données protégées en tant que secrets d’affaires, y compris dans les métadonnées pertinentes, et convient avec l’utilisateur de mesures techniques et organisationnelles proportionnées nécessaires afin de préserver la confidentialité des données partagées, en particulier en ce qui concerne les tiers, telles que des clauses contractuelles types, des accords de confidentialité, des protocoles d’accès stricts, des normes techniques et l’application de codes de conduite.

Article 5.9 Droit de l’utilisateur de partager des données avec des tiers

9. Les secrets d’affaires sont préservés et ne sont divulgués à des tiers que dans la mesure où cette divulgation est strictement nécessaire pour atteindre la finalité convenue entre l’utilisateur et le tiers. Le détenteur de données ou, s’il ne s’agit pas de la même personne, le détenteur de secrets d’affaires, recense les données protégées en tant que secrets d’affaires, y compris dans les métadonnées pertinentes, et convient avec le tiers de toutes les mesures techniques et organisationnelles proportionnées nécessaires afin de préserver la confidentialité des données partagées, telles que des clauses contractuelles types, des accords de confidentialité, des protocoles d’accès stricts, des normes techniques et l’application de codes de conduite.
  • Mesures techniques et organisationnelles proportionnées pour préserver la confidentialité : les détenteurs de données identifiant les données relevant des secrets d’affaires (y compris les métadonnées pertinentes) avant la divulgation ont la possibilité de convenir avec les utilisateurs, ou des tiers choisis par un utilisateur, de mesures nécessaires pour préserver leur confidentialité, y compris
    • par l’utilisation de clauses contractuelles types,
    • d’accords de confidentialité,
    • de protocoles d’accès stricts,
    • de normes techniques,
    • de l’application de codes de conduite.
  • Blocage ou suspension du partage des données

En l’absence d’accord sur les mesures nécessaires, ou lorsqu’un utilisateur ou les tiers choisis par un utilisateur ne mettent pas en œuvre les mesures convenues ou compromettent la confidentialité des secrets d’affaires, le détenteur de données devrait pouvoir bloquer ou suspendre le partage de données définies comme secrets d’affaires.

  • Refus motivé du partage des données protégées par le secret commercial en raison du risque concret du préjudice économique grave résultant de l’insuffisance des mesures

Le détenteur de données devrait dûment motiver son refus par écrit, sans retard injustifié, à l’utilisateur ou au tiers et en informer l’autorité compétente. Une telle motivation devrait être fondée sur des éléments objectifs, démontrant le risque concret de préjudice économique grave qui devrait résulter d’une divulgation de données spécifiques et les raisons pour lesquelles les mesures prises pour protéger les données demandées ne sont pas considérées comme étant suffisantes.. Les exceptions aux droits d’accès aux données prévues par le DATA ACT ne doivent pas limiter le droit d’accès et le droit de portabilité des données des personnes concernées au titre du règlement (UE) 2016/679

INNOVATION : frontière entre l’accès par l’utilisateur et le refus d’accès

Le règlement précise que ces données devraient être « facilement » utilisables et compréhensibles par des entités autres que celles qui les ont générées.

  • Obligation du détenteur de données de rendre les données utilisables et compréhensibles

Les mesures de capteurs nécessitent un certain niveau d’interprétation avant de pouvoir être communiquées sous format numérique, des investissements supplémentaires peuvent être nécessaires pour rendre les données utilisables et compréhensibles, tels que le nettoyage, la transformation ou le reformatage.

La limite : pas d’obligation d’investissements substantiels dans ces processus. Les utilisateurs, ou les tiers choisis par eux, sont censés disposer d’un niveau raisonnable de capacité technique pour interpréter les données. Les traitements visant à préserver la confidentialité des informations, tels que l’anonymisation , la pseudonymisation ou le chiffrement, ne devraient pas être considérés comme suffisants pour exclure les données du champ d’application du chapitre II.

IoT data process at the edge

Le « traitement en périphérie » consiste à traiter les données localement sur le produit connecté lui-même, plutôt que sur un serveur distant ou une infrastructure cloud. Cette approche est généralement utilisée pour des raisons d’efficacité et de réduction de la latence, et constitue souvent un élément clé des architectures respectueuses de la vie privée dès la conception, visant à minimiser l’exposition inutile des données.

Le chapitre II du Data Act exige des détenteurs de données qu’ils mettent à disposition toutes les données « facilement accessibles » [c’est-à-dire les données brutes ou prétraitées stockées (même temporairement), récupérables ou transmises en externe] des produits connectés et des services associés.

  • Si la conception d’un produit connecté empêche intrinsèquement le stockage ou la transmission de données externes, ces données ne sont pas considérées comme « facilement accessibles » ( considérant 20).
  • Des obligations s’appliquent si des données brutes ou prétraitées étaient, à un moment donné, accessibles ou transmissibles de l’extérieur.

Le considérant 22 reconnaît que les produits connectés peuvent être conçus pour permettre le traitement des données par l’utilisateur ou un tiers sur le produit connecté lui-même, sur le système du fabricant ou dans un environnement TIC choisi par l’utilisateur ou le tiers.

  • Le chapitre II vise à garantir des pratiques de partage équilibrées sans imposer de charges techniques ou économiques déraisonnables.
  • La conformité doit s’aligner de manière réaliste sur la conception prévue du produit connecté, les obligations légales et l’objectif plus large de promouvoir une économie des données équitable et compétitive.

« CONTENU » SOUMIS A L’OBLIGATION DE PARTAGE

Le considérant 16 contient deux éléments facilitant l’interprétation de la notion de « contenu ».

  • le « contenu » est de nature textuelle, audio ou audiovisuelle et souvent protégé par des droits de propriété intellectuelle : le « contenu » doit s’apparenter à du matériel protégé par le droit d’auteur, c’est-à-dire le résultat d’un processus créatif (même si le seuil minimal de protection du droit d’auteur n’est pas atteint) et généralement destiné à l’appréciation ou à la consommation humaine.
  • distinction entre les marchés des produits connectés et des services connexes et les marchés des logiciels et contenus non connexes : objectif ouvrir les marchés à d’autres types de données, telles que les mesures et les productions non créatives.

Exemple : les détenteurs de données d’appareils photo numériques capables d’enregistrer, de transmettre ou d’afficher des photographies ou des vidéos sont tenus de partager des données facilement accessibles, telles que :

  • les habitudes d’utilisation,
    • le niveau de charge de la batterie,
    • l’horodatage,
    •  la localisation,
    •  l’intensité lumineuse,
    •  les journaux d’événements.

Ils ne sont en principe pas tenus de partager le contenu audiovisuel lui-même.

Par exemple, les caméras des véhicules connectés prennent en charge les systèmes d’alerte de collision et de freinage d’urgence, tandis que les caméras des machines agricoles évaluent la santé des plantes et fournissent des conseils automatisés sur l’utilisation d’engrais ou de pesticides. Les images générées par ces caméras ne sont pas destinées à la consommation humaine et sont dépourvues d’éléments créatifs. À ce titre, elles devraient relever du chapitre II de la loi sur les données.

 « Produit connecté » soumis au DATA ACT ?

Définition des produits connectés

Les produits connectés sont des éléments capables

  • de générer, d’obtenir ou de collecter des données sur
    • leur utilisation,
    •  leurs performances,
    •  leur environnement, et
  • de communiquer ces données via une connexion filaire ou sans fil. Cela inclut la communication ponctuelle de données externes au produit (par exemple, lors d’opérations de maintenance).

Produits connectés in/ produits connectés out

Exemple, si un véhicule reçoit des données d’une infrastructure intelligente (par exemple, des capteurs routiers, des feux de circulation) ou enregistre des données sur l’état de la route (par exemple, le brouillard, le verglas) et que le détenteur des données du véhicule y a accès, celles-ci doivent être mises à la disposition de l’utilisateur du véhicule.

  • Le simple fait qu’un utilisateur de véhicule conduise sur la route ne fait pas de lui un « utilisateur » de l’infrastructure routière et des capteurs.
  • L’accès ne serait accordé que si l’utilisateur a reçu la propriété ou des droits contractuels sur les capteurs intégrés à l’infrastructure.
  • DATA ACT garantit plutôt l’accès des utilisateurs aux données que le véhicule lui-même reçoit et traite, et non à l’ensemble des données gérées par l’opérateur de l’infrastructure.

Mise sur le marché de l’UE d’un produit connecté : condition d’application du Data Act

Un produit connecté relève du champ d’application du DACTA ACT s’il a été « mis sur le marché de l’Union » (article 2, paragraphe 22).

  • La « mise sur le marché » concerne le transfert de propriété, de possession ou de tout autre droit de propriété entre deux acteurs économiques qui intervient après la phase de fabrication.
  • Toutes les opérations ultérieures sont considérées comme une « mise à disposition sur le marché » (article 2, paragraphe 21). La notion de mise sur le marché se réfère à chaque produit individuel, et non à un type de produit.
  • . un produit n’est pas considéré comme « mis sur le marché ».
    • Si le produit est acheté par un consommateur dans un pays tiers alors qu’il est physiquement présent dans ce pays tiers et introduit par ce consommateur dans l’UE pour son usage personnel, et
    • lorsque le produit est fabriqué dans un État membre en vue de son exportation vers un pays tiers.

Si un produit connecté est mis sur le marché dans l’UE puis utilisé hors de l’UE, les données générées par ce produit, tant à l’intérieur qu’à l’extérieur de l’UE, doivent être mises à la disposition de l’utilisateur. Cela signifie que les produits connectés « mobiles » (par exemple, les navires, les avions, les trains et les voitures) doivent être traités de la même manière que les autres produits connectés. Les données s’appuient sur les relations de droit civil de propriété et de location entre une personne ou une entité et un objet.

Le fait que des produits connectés tels que des voitures, des véhicules ferroviaires ou des avions soient immatriculés dans un État membre est un indicateur que le produit connecté en question a été mis sur le marché de l’UE.

Produit connecté revendu (« produits connectés d’occasion ») ?

  • Concernant le droit d’accès de l’utilisateur aux données générées par l’utilisation d’un produit connecté, pas de distinction entre les produits connectés « de première main » et « d’occasion ».
  • En cas de (re)vente d’un produit connecté, le vendeur doit se conformer à l’obligation de transparence prévue à l’article 3. Il est ainsi tenu de fournir les informations nécessaires au futur propriétaire pour exercer ses nouveaux droits d’accès aux données

. Ainsi, le futur propriétaire sera informé de l’identité des détenteurs de données ainsi que des modalités d’accès et d’utilisation des données générées.

Un produit connecté ne peut donc être mis sur le marché que :

  • s’il est conforme à toutes les dispositions applicables du Data Act
  • et si une évaluation de conformité a été réalisée conformément à la législation applicable.

Le Data Act

  • s’applique à tous les produits connectés, y compris ceux qui sont soumis à des régimes spécifiques d’approbation de type ou d’évaluation de la conformité (par exemple, les véhicules automobiles, les aéronefs et les dispositifs médicaux) ;
  • ne contient pas de dispositions spécifiques concernant les mécanismes d’évaluation de la conformité, mais les obligations de la loi sur les données s’appliquent.

« Service connexe »

Un service associé est un service numérique qui

  •  peut être lié au fonctionnement d’un produit connecté
  • qui affecte la fonctionnalité de ce produit connecté, par exemple en lui transmettant des données ou des commandes (par exemple une application pour régler la luminosité des lumières, ou pour réguler la température d’un réfrigérateur).

Deux conditions fondamentales doivent être remplies pour qu’un service numérique soit considéré comme un service connexe :

  • il doit y avoir un échange de données bidirectionnel entre le produit connecté et le fournisseur de services ; et
  • Le service doit affecter les fonctions, le comportement ou le fonctionnement du produit connecté.

 Déterminer les « fonctions » d’un produit connecté est une tâche permanente et évolutive. La pratique et l’interprétation des tribunaux joueront un rôle essentiel pour mieux définir si un service numérique est un service connexe. Les éléments suivants pourraient être utiles pour préciser la définition d’un service numérique comme tel :

  • les attentes des utilisateurs pour cette catégorie de produits ;
    • marketing accompagnant le produit connecté et/ou le service numérique ;
    • négociations contractuelles;
    • la remplaçabilité du service numérique ;
  • pré-installation du service numérique sur le produit connecté.

La plupart des services numériques qui interagissent avec des produits connectés, mais pas tous, relèvent de la catégorie des services connexes.

Les données relatives au service connexe désignent les données représentant également la numérisation des actions de l’utilisateur ou des événements liés au produit connecté qui sont générées lors de la fourniture d’un service connexe par le fournisseur

Considérant 17 données de service connexe

  • Les services connexes peuvent être proposés dans le cadre du contrat d’achat, de location ou de crédit-bail. Des services connexes pourraient aussi être fournis pour des produits du même type et les utilisateurs pourraient raisonnablement s’attendre à ce qu’ils soient fournis en tenant compte de la nature du produit connecté et de toute déclaration publique faite par le vendeur, le loueur, le bailleur ou d’autres personnes situées en amont de la chaîne de transactions, y compris le fabricant, ou pour leur compte.
  • Ces services connexes peuvent eux- mêmes générer des données de valeur pour l’utilisateur indépendamment des capacités de collecte de données du produit connecté avec lequel ils sont interconnectés.

 Une donnée pseudonymisée ou anonymisée est-elle qualifiée de donnée dérivée ou inférée ?

TEC ne confère pas une valeur ajoutée mais vise à protéger l’investissement initial

Données « OUT » + TEC = Données « OUT » Données « IN » + TEC = Données « IN » (contribuer à la compliance du RGPD)
  • Considérant 8, La pseudonymisation ou l’anonymisation des données personnelles peut être obtenue grâce à l’application de technologies améliorant la confidentialité (TEC). On ne peut conclure que les données résultant de l’application de TCE doivent être traitées comme des données inférées ou dérivées du seul fait de l’application de ces technologies.
  • considérant 15, la protection des données inférées ou dérivées des détenteurs de données vise à préserver « les investissements supplémentaires visant à attribuer des valeurs ou des informations à partir des données ». Les TCE sont des investissements réalisés afin de pouvoir analyser les données tout en protégeant la confidentialité, et non pour attribuer des valeurs ou en tirer des informations.
L’anonymisation ou la pseudonymisation peut être pertinente, par exemple, lorsque le titulaire des données doit répondre à une demande au titre des articles 4 ou 5, et que l’utilisateur demandeur n’est pas la personne concernée, ou que plusieurs personnes concernées peuvent être toutes des utilisateurs du même produit connecté (par exemple, une voiture de location). Dans de telles situations, l’utilisation de PET peut contribuer à la conformité au RGPD.

DATA ACT garantit un accès raisonnable, clair et prévisible aux données, tant pour les utilisateurs que pour les détenteurs de données.

Considérant 24

  • Conservation des données par les détenteurs de données : pas d’obligation de conserver les données indéfiniment mais obligations réglementaires (surveillance /sécurité des produits)
  • Recours aux PET pour atténuer certains risques, notamment ceux liés à la protection des données personnelles ou à la protection des secrets commerciaux. Cependant, l’utilisation de PET ne doit pas servir à contourner les obligations de partage de données
  • Le recours à des techniques d’anonymisation , de chiffrement ou de stockage ne dispense pas automatiquement les détenteurs de données de leurs obligations de partage de données.

Cela signifie,

  • dans les situations où des données sont transférées de l’appareil vers le serveur principal du détenteur de données, les utilisateurs et les tiers de leur choix doivent avoir une chance raisonnable d’obtenir une copie des données générées par un produit connecté avant que les données ne soient anonymisées ou chiffrées ;
    • lorsqu’il existe des moyens raisonnables de relier des données à un utilisateur spécifique ou à un produit connecté sans modifications substantielles du système ni coûts, les données restent « facilement disponibles » pour être demandées au titre des articles 4 et 5.

A suivre …Episode 2

Laisser un commentaire