keyboard_tab Digital Governance Act 2022/0868 FR
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 3 Art. 5 Conditions applicables à la réutilisation
- 9 Art. 7 Organismes compétents
- 2 Art. 8 Points d’information unique
- 4 Art. 9 Procédure relative aux demandes de réutilisation
- 1 Art. 29 Comité européen de l’innovation dans le domaine des données
- 1 Art. 30 Missions du comité européen de l’innovation dans le domaine des données
CHAPITRE I
Dispositions générales
CHAPITRE II
Réutilisation de certaines catégories de données protégées détenues par des organismes du secteur public
CHAPITRE III
Exigences applicables aux services d’intermédiation de données
CHAPITRE IV
Altruisme en matière de données
CHAPITRE V
Autorités compétentes et dispositions procédurales
CHAPITRE VI
Comité européen de l’innovation dans le domaine des données
CHAPITRE VII
Accès international et transfert international
CHAPITRE VIII
Délégation et comité
CHAPITRE IX
Dispositions finales et transitoires
- données
- réutilisation
- données à caractère personnel
- données à caractère non personnel
- consentement
- autorisation
- personne concernée
- détenteur de données
- utilisateur de données
- partage de données
- service d’intermédiation de données
- traitement
- accès
- établissement principal
- services de coopératives de données
- altruisme en matière de données
- organisme du secteur public
- organismes de droit public
- entreprise publique
- environnement de traitement sécurisé
- représentant légal
- données 111
- pour 44
- réutilisation 41
- organismes 37
- dans 32
- l’article 28
- l’ 28
- paragraphe 23
- droit 23
- secteur 22
- public 21
- commission 21
- compétents 20
- accès 20
- concerne 18
- matière 17
- l’union 17
- conformément 17
- caractère 16
- tiers 15
- organisme_du_secteur_public 15
- d’information 15
- catégories 14
- sont 14
- personnel 14
- pays 13
- visées 13
- être 13
- présent 12
- point 12
- européen 12
- conditions 12
- normes 11
- d’une 11
- services 11
- peuvent 11
- droits 11
- notamment 10
- réutilisateur 10
- peut 10
- autorités 10
- compétentes 10
- unique 10
- ainsi 9
- conseiller 9
- national 9
- exigences 9
- compris 9
- comité 9
- points 9
Article 5
Conditions applicables à la réutilisation
1. Les organismes du secteur public qui sont compétents en vertu du droit national pour octroyer ou refuser l’ accès aux fins de la réutilisation d’une ou de plusieurs des catégories de données visées à l’article 3, paragraphe 1, rendent publiques les conditions d’ autorisation de cette réutilisation et la procédure de demande de réutilisation par l’intermédiaire du point d’information unique visé à l’article 8. Lorsqu’ils octroient ou refusent l’ accès à des fins de réutilisation, ils peuvent être assistés par les organismes compétents visés à l’article 7, paragraphe 1.
Les États membres veillent à ce que les organismes du secteur public soient dotés des ressources nécessaires pour se conformer au présent article.
2. Les conditions applicables à la réutilisation sont non discriminatoires, transparentes, proportionnées et objectivement justifiées en ce qui concerne les catégories de données et les finalités de la réutilisation, ainsi que la nature des données pour lesquelles la réutilisation est autorisée. Ces conditions ne sont pas utilisées pour restreindre la concurrence.
3. Les organismes du secteur public veillent à ce que, conformément au droit de l’Union et au droit national, le caractère protégé des données soit préservé. Ils peuvent prévoir les exigences suivantes:
| a) | l’ accès aux données à des fins de réutilisation n’est octroyé que lorsque l’ organisme_du_secteur_public ou l’organisme compétent, à la suite d’une demande de réutilisation, a fait en sorte que les données:
|
| b) | l’ accès aux données et leur réutilisation se font à distance dans un environnement de traitement sécurisé qui est fourni ou contrôlé par l’ organisme_du_secteur_public; |
| c) | l’ accès aux données et leur réutilisation se font dans les locaux où se trouve l’environnement de traitement sécurisé, dans le respect de normes de sécurité élevées, à condition que l’ accès à distance ne puisse être autorisé sans qu’il soit porté atteinte aux droits et aux intérêts des tiers. |
4. Lorsque la réutilisation est autorisée conformément au paragraphe 3, points b) et c), les organismes du secteur public imposent des conditions qui préservent l’intégrité du fonctionnement des systèmes techniques de l’environnement de traitement sécurisé utilisé. L’ organisme_du_secteur_public se réserve le droit de vérifier le processus, les moyens et tout résultat du traitement de données effectué par le réutilisateur afin de préserver l’intégrité de la protection des données et se réserve le droit d’interdire l’utilisation des résultats qui contiennent des informations portant atteinte aux droits et aux intérêts de tiers. La décision d’interdire l’utilisation des résultats est transparente et compréhensible par le réutilisateur.
5. Sauf si le droit national prévoit des garanties spécifiques concernant les obligations de confidentialité applicables en cas de réutilisation des données visées à l’article 3, paragraphe 1, l’ organisme_du_secteur_public subordonne la réutilisation des données fournies conformément au paragraphe 3 du présent article au respect par le réutilisateur d’une obligation de confidentialité interdisant la divulgation de toute information compromettant les droits et intérêts de tiers que le réutilisateur peut avoir acquis malgré les garanties mises en place. Il est interdit aux réutilisateurs de rétablir l’identité de toute personne_concernée à laquelle se rapportent les données et ils prennent des mesures techniques et opérationnelles pour empêcher toute réidentification et notifier à l’ organisme_du_secteur_public toute violation de données ayant pour effet de réidentifier les personnes concernées. En cas de réutilisation non autorisée de données à caractère non personnel, le réutilisateur informe sans retard, au besoin avec l’aide de l’ organisme_du_secteur_public, les personnes morales dont les droits et intérêts peuvent être affectés.
6. Lorsqu’il est impossible d’autoriser la réutilisation des données en respectant les obligations prévues aux paragraphes 3 et 4 du présent article et qu’il n’existe pas de base juridique pour la transmission des données au titre du règlement (UE) 2016/679, l’ organisme_du_secteur_public met tout en œuvre, conformément au droit de l’Union et au droit national, pour aider les réutilisateurs potentiels à demander le consentement des personnes concernées ou l’ autorisation des détenteurs de données dont les droits et intérêts peuvent être affectés par cette réutilisation, lorsque cela est faisable sans charge disproportionnée pour l’ organisme_du_secteur_public. Lorsqu’il fournit cette aide, l’ organisme_du_secteur_public peut être assisté par les organismes compétents visés à l’article 7, paragraphe 1.
7. La réutilisation des données n’est autorisée que dans le respect des droits de propriété intellectuelle. Les organismes du secteur public n’exercent pas le droit du fabricant d’une base de données prévu à l’article 7, paragraphe 1, de la directive 96/9/CE en vue d’empêcher la réutilisation de données ou de limiter celle-ci au-delà des limites fixées par le présent règlement.
8. Lorsque les données demandées sont considérées comme confidentielles, conformément au droit de l’Union ou au droit national en matière de confidentialité commerciale ou de secret statistique, les organismes du secteur public veillent à ce que les données confidentielles ne soient pas divulguées du fait de l’ autorisation à des fins de réutilisation, à moins que cette réutilisation ne soit autorisée conformément au paragraphe 6.
9. Lorsqu’un réutilisateur a l’intention de transférer à un pays tiers des données à caractère non personnel protégées pour les motifs énoncés à l’article 3, paragraphe 1, il informe l’ organisme_du_secteur_public de son intention de transférer ces données ainsi que de la finalité de ce transfert au moment de demander la réutilisation desdites données. En cas de réutilisation conformément au paragraphe 6 du présent article, le réutilisateur informe, au besoin avec l’aide de l’ organisme_du_secteur_public, la personne morale dont les droits et intérêts peuvent être affectés de cette intention, de la finalité et des garanties appropriées. L’ organisme_du_secteur_public n’autorise pas la réutilisation à moins que la personne morale n’autorise le transfert.
10. Les organismes du secteur public ne transmettent des données confidentielles à caractère non personnel ou des données protégées par des droits de propriété intellectuelle à un réutilisateur qui a l’intention de transférer lesdites données vers un pays tiers autre qu’un pays désigné conformément au paragraphe 12 que si le réutilisateur s’engage contractuellement à:
| a) | respecter les obligations imposées conformément aux paragraphes 7 et 8, même après le transfert des données vers le pays tiers; et |
| b) | admettre la compétence des juridictions de l’État membre de l’ organisme_du_secteur_public qui transmet les données en ce qui concerne tout litige lié au respect des paragraphes 7 et 8. |
11. Les organismes du secteur public, s’il y a lieu et dans la mesure de leurs capacités, fournissent des conseils et une assistance aux réutilisateurs pour ce qui est de respecter les obligations visées au paragraphe 10 du présent article.
Afin d’aider les organismes du secteur public et les réutilisateurs, la Commission peut adopter des actes d’exécution établissant des clauses contractuelles types pour le respect des obligations visées au paragraphe 10 du présent article. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 33, paragraphe 3.
12. Lorsque cela est justifié en raison du nombre important de demandes dans l’ensemble de l’Union concernant la réutilisation de données à caractère non personnel dans des pays tiers déterminés, la Commission peut adopter des actes d’exécution déclarant que le cadre juridique et le dispositif de surveillance et d’exécution d’un pays tiers:
| a) | assurent la protection de la propriété intellectuelle et des secrets d’affaires d’une manière qui est essentiellement équivalente à la protection assurée par le droit de l’Union; |
| b) | sont effectivement appliqués et leur application est contrôlée; et |
| c) | prévoient un recours juridictionnel effectif. |
Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 33, paragraphe 3.
13. Des actes législatifs spécifiques de l’Union peuvent considérer que certaines catégories de données à caractère non personnel détenues par des organismes du secteur public sont hautement sensibles aux fins du présent article, lorsque leur transfert vers des pays tiers peut mettre en péril des objectifs de politique publique de l’Union, tels que la sécurité et la santé publique, ou peut entraîner un risque de réidentification de données anonymisées à caractère non personnel. Lorsqu’un tel acte est adopté, la Commission adopte des actes délégués conformément à l’article 32 afin de compléter le présent règlement en fixant des conditions particulières applicables aux transferts de telles données vers des pays tiers.
Ces conditions particulières sont fondées sur la nature des catégories de données à caractère non personnel identifiées dans l’acte législatif spécifique de l’Union et sur les motifs conduisant à considérer ces catégories comme hautement sensibles, en tenant compte des risques de réidentification de données anonymisées à caractère non personnel. Elles sont non discriminatoires et limitées à ce qui est nécessaire pour atteindre les objectifs de politique publique de l’Union définis dans ledit acte, conformément aux obligations internationales de l’Union.
Lorsque les actes législatifs spécifiques de l’Union visés au premier alinéa l’exigent, de telles conditions particulières peuvent notamment comprendre des conditions applicables au transfert ou des arrangements techniques à cet égard, des limitations en ce qui concerne la réutilisation de données dans des pays tiers ou les catégories de personnes habilitées à transférer ces données vers des pays tiers ou, dans des cas exceptionnels, des restrictions en ce qui concerne les transferts vers des pays tiers.
14. La personne physique ou morale à laquelle le droit de réutiliser des données à caractère non personnel a été accordé ne peut transférer ces données que vers les pays tiers pour lesquels il est satisfait aux exigences énoncées aux paragraphes 10, 12 et 13.
Article 7
Organismes compétents
1. En vue d’effectuer les tâches visées au présent article, chaque État membre désigne un ou plusieurs organismes compétents, qui peuvent être compétents pour un secteur particulier, pour aider les organismes du secteur public qui octroient ou refusent l’ accès aux fins de la réutilisation des catégories de données visées à l’article 3, paragraphe 1. Les États membres peuvent soit établir un ou plusieurs nouveaux organismes compétents, soit s’appuyer sur des organismes du secteur public ou sur des services internes d’organismes du secteur public existants qui remplissent les conditions fixées par le présent règlement.
2. Les organismes compétents peuvent également être habilités à octroyer l’ accès aux fins de la réutilisation des catégories de données visées à l’article 3, paragraphe 1, en application des dispositions du droit de l’Union ou du droit national qui prévoient l’octroi d’un tel accès. Lorsqu’ils octroient ou refusent l’ accès à des fins de réutilisation, les articles 4, 5, 6 et 9 s’appliquent à ces organismes compétents.
3. Les organismes compétents disposent des ressources juridiques, financières, techniques et humaines suffisantes pour mener à bien les tâches qui leur sont assignées, y compris des connaissances techniques nécessaires pour être en mesure de respecter le droit de l’Union ou le droit national applicable en ce qui concerne les régimes d’ accès pour les catégories de données visées à l’article 3, paragraphe 1.
4. L’assistance prévue au paragraphe 1 consiste notamment, le cas échéant:
| a) | à fournir une assistance technique en mettant à disposition un environnement de traitement sécurisé pour donner accès à la réutilisation de données; |
| b) | à fournir des orientations et une assistance technique sur la meilleure manière de structurer et de stocker les données pour les rendre facilement accessibles; |
| c) | à fournir un soutien technique pour la pseudonymisation et à garantir le traitement des données d’une manière qui préserve efficacement le caractère privé, la confidentialité, l’intégrité et l’accessibilité des informations contenues dans les données pour lesquelles la réutilisation est autorisée, notamment les techniques d’anonymisation, de généralisation, de suppression et de randomisation des données à caractère personnel ou d’autres méthodes de préservation de la vie privée à la pointe de la technologie, et la suppression des informations commerciales confidentielles, y compris les secrets d’affaires ou les contenus protégés par des droits de propriété intellectuelle; |
| d) | à aider les organismes du secteur public, le cas échéant, à fournir une assistance aux réutilisateurs pour demander le consentement des personnes concernées à la réutilisation ou l’ autorisation des détenteurs de données conformément à leurs décisions spécifiques, y compris en ce qui concerne le territoire où le traitement des données est prévu et à aider les organismes du secteur public à mettre en place des mécanismes techniques permettant la transmission des demandes de consentement ou d’ autorisation des réutilisateurs, lorsque cela est réalisable en pratique; |
| e) | à fournir aux organismes du secteur public une assistance lorsqu’il s’agit d’évaluer l’adéquation des engagements contractuels pris par un réutilisateur en vertu de l’article 5, paragraphe 10. |
5. Chaque État membre notifie à la Commission l’identité des organismes compétents désignés en application du paragraphe 1 au plus tard le 24 septembre 2023. Chaque État membre notifie également à la Commission toute modification ultérieure concernant l’identité de ces organismes compétents.
Article 8
Points d’information unique
1. Les États membres veillent à ce que toutes les informations pertinentes concernant l’application des articles 5 et 6 soient disponibles et facilement accessibles par l’intermédiaire d’un point d’information unique. Les États membres établissent un nouvel organisme ou désignent un organisme existant ou une structure existante en tant que point d’information unique. Le point d’information unique peut être lié à des points d’information sectoriels, régionaux ou locaux. Les fonctions du point d’information unique peuvent être automatisées, à condition que l’ organisme_du_secteur_public apporte un soutien adéquat.
2. Le point d’information unique est compétent pour recevoir les demandes d’information ou demandes de réutilisation des catégories de données visées à l’article 3, paragraphe 1, et les transmettre, par des moyens automatisés lorsque cela est possible et opportun, aux organismes du secteur public compétents, ou aux organismes compétents visés à l’article 7, paragraphe 1, le cas échéant. Le point d’information unique met à disposition par voie électronique une liste de ressources consultable contenant un aperçu de toutes les ressources en données disponibles, y compris, le cas échéant, les ressources en données qui sont disponibles au niveau des points d’information sectoriels, régionaux ou locaux, avec des informations pertinentes décrivant les données disponibles, y compris au minimum le format et la taille des données ainsi que les conditions applicables à leur réutilisation.
3. Le point d’information unique peut établir un canal d’information distinct, simplifié et bien documenté pour les PME et les jeunes pousses, afin de répondre à leurs besoins et à leurs capacités en matière de demande de réutilisation des catégories de données visées à l’article 3, paragraphe 1.
4. La Commission établit un point d’ accès unique européen mettant à disposition un registre électronique consultable des données disponibles au niveau des points d’information uniques nationaux ainsi que d’autres informations sur la manière de demander des données par l’intermédiaire de ces points d’information uniques nationaux.
Article 9
Procédure relative aux demandes de réutilisation
1. Sauf si des délais plus courts ont été fixés conformément au droit national, les organismes du secteur public compétents ou les organismes compétents visés à l’article 7, paragraphe 1, adoptent une décision sur la demande de réutilisation des catégories de données visées à l’article 3, paragraphe 1, dans un délai de deux mois à compter de la date de réception de la demande.
En cas de demandes de réutilisation exceptionnellement détaillées et complexes, ce délai de deux mois peut être prolongé de trente jours au maximum. En pareils cas, les organismes du secteur public compétents ou les organismes compétents visés à l’article 7, paragraphe 1, informent le demandeur dès que possible de la nécessité d’un délai supplémentaire pour conduire la procédure, ainsi que des raisons qui justifient le retard.
2. Toute personne physique ou morale directement affectée par une décision visée au paragraphe 1 dispose d’un droit de recours effectif dans l’État membre dans lequel est situé ledit organisme. Un tel droit de recours est fixé par le droit national et inclut la possibilité d’un réexamen par un organisme impartial doté des compétences appropriées, telle que l’autorité nationale de la concurrence, l’autorité pertinente d’ accès aux documents, l’autorité de contrôle établie conformément au règlement (UE) 2016/679 ou une autorité judiciaire nationale, dont les décisions sont contraignantes pour l’ organisme_du_secteur_public concerné ou l’organisme compétent concerné.
CHAPITRE III
Exigences applicables aux services d’intermédiation de données
Article 29
Comité européen de l’innovation dans le domaine des données
1. La Commission institue un comité européen de l’innovation dans le domaine des données sous la forme d’un groupe d’experts, qui se compose de représentants des autorités compétentes en matière de services d’intermédiation de données et des autorités compétentes pour l’enregistrement des organisations altruistes en matière de données de tous les États membres, du comité européen de la protection des données, du Contrôleur européen de la protection des données, de l’ENISA, de la Commission, du représentant de l’UE pour les PME ou d’un représentant désigné par le réseau des représentants des PME, et d’autres représentants d’organismes compétents dans des secteurs particuliers ainsi que d’organismes disposant d’une expertise particulière. Lorsqu’elle nomme des experts individuels, la Commission s’efforce de parvenir à un équilibre entre les hommes et les femmes ainsi qu’à un équilibre géographique parmi les membres du groupe d’experts.
2. Le comité européen de l’innovation dans le domaine des données se compose au moins des trois sous-groupes suivants:
| a) | un sous-groupe composé des autorités compétentes en matière de services d’intermédiation de données et des autorités compétentes pour l’enregistrement des organisations altruistes en matière de données en vue de s’acquitter des missions prévues à l’article 30, points a), c), j) et k); |
| b) | un sous-groupe chargé des discussions techniques sur la normalisation, la portabilité et l’interopérabilité conformément à l’article 30, points f) et g); |
| c) | un sous-groupe chargé de la participation des parties prenantes, composé de représentants pertinents de l’industrie, de la recherche, des milieux universitaires, de la société civile, des organismes de normalisation, des espaces européens communs de données pertinents et d’autres parties prenantes concernées et de tiers qui conseillent le comité européen de l’innovation dans le domaine des données sur les missions prévues à l’article 30, points d), e), f), g) et h). |
3. La Commission préside les réunions du comité européen de l’innovation dans le domaine des données.
4. Le comité européen de l’innovation dans le domaine des données est assisté par un secrétariat assuré par la Commission.
Article 30
Missions du comité européen de l’innovation dans le domaine des données
Le comité européen de l’innovation dans le domaine des données s’acquitte des missions suivantes:
| a) | conseiller et assister la Commission en ce qui concerne l’élaboration d’une pratique cohérente des organismes du secteur public et des organismes compétents visés à l’article 7, paragraphe 1, pour la gestion des demandes de réutilisation des catégories de données visées à l’article 3, paragraphe 1; |
| b) | conseiller et assister la Commission en ce qui concerne l’élaboration d’une pratique cohérente pour l’altruisme en matière de données dans l’ensemble de l’Union; |
| c) | conseiller et assister la Commission en ce qui concerne l’élaboration d’une pratique cohérente des autorités compétentes en matière de services d’intermédiation de données et des autorités compétentes pour l’enregistrement des organisations altruistes en matière de données quant à l’application des exigences auxquelles sont soumis les prestataires de services d’intermédiation de données et les organisations altruistes en matière de données reconnues; |
| d) | conseiller et assister la Commission en ce qui concerne l’élaboration de lignes directrices cohérentes sur la meilleure façon de protéger, dans le cadre du présent règlement, les données à caractère non personnel commercialement sensibles, notamment les secrets d’affaires, mais aussi les données à caractère non personnel représentant des contenus protégés par des droits de propriété intellectuelle contre un accès illicite susceptible de conduire à un vol de propriété intellectuelle ou à de l’espionnage industriel; |
| e) | conseiller et assister la Commission en ce qui concerne l’élaboration de lignes directrices cohérentes relatives aux exigences en matière de cybersécurité pour l’échange et le stockage de données; |
| f) | conseiller la Commission, notamment en tenant compte de la contribution des organismes de normalisation, sur la hiérarchisation des normes transsectorielles à utiliser et à mettre au point pour l’utilisation de données et le partage de données transsectoriel entre les espaces européens communs de données émergents, la comparaison et l’échange transsectoriels des meilleures pratiques en ce qui concerne les exigences sectorielles de sécurité et les procédures d’ accès, en prenant en considération les activités de normalisation transsectorielle, notamment en précisant et en distinguant les normes et pratiques transsectorielles des normes et pratiques sectorielles; |
| g) | aider la Commission, notamment en tenant compte de la contribution des organismes de normalisation, à lutter contre la fragmentation du marché intérieur et de l’économie des données au sein du marché intérieur en améliorant l’interopérabilité transfrontalière et transsectorielle des données ainsi que les services de partage de données entre les différents secteurs et domaines, en tirant parti des normes européennes, internationales ou nationales existantes dans le but, entre autres, d’encourager la création d’espaces européens communs de données; |
| h) | proposer des lignes directrices pour des espaces européens communs de données, à savoir des cadres interopérables pour les différentes finalités ou pour les différents secteurs ou encore transsectoriels de normes et de pratiques communes visant à partager ou à traiter conjointement des données en vue, entre autres, de la mise au point de nouveaux produits et services, de la recherche scientifique ou d’initiatives de la société civile, ces normes et pratiques communes tenant compte des normes existantes, respectant les règles de concurrence et garantissant un accès non discriminatoire à tous les participants, afin de faciliter le partage des données dans l’Union et de tirer parti du potentiel des espaces de données existants et futurs, notamment en ce qui concerne:
|
| i) | faciliter la coopération entre les États membres en ce qui concerne la définition de conditions harmonisées permettant la réutilisation des catégories de données visées à l’article 3, paragraphe 1, détenues par des organismes du secteur public dans l’ensemble du marché intérieur; |
| j) | faciliter la coopération entre les autorités compétentes en matière de services d’intermédiation de données et les autorités compétentes pour l’enregistrement des organisations altruistes en matière de données par le renforcement des capacités et l’échange d’informations, notamment en établissant des méthodes pour l’échange efficace d’informations relatives, d’une part, à la procédure de notification applicable aux prestataires de services d’intermédiation de données et, d’autre part, à l’enregistrement et au contrôle des organisations altruistes en matière de données reconnues, y compris la coordination en ce qui concerne la fixation de redevances ou de sanctions, ainsi que faciliter la coopération entre les autorités compétentes en matière de services d’intermédiation de données et les autorités compétentes pour l’enregistrement des organisations altruistes en matière de données en ce qui concerne l’ accès international aux données et le transfert international de données; |
| k) | conseiller et assister la Commission pour ce qui est d’évaluer si les actes d’exécution visés à l’article 5, paragraphes 11 et 12, doivent être adoptés; |
| l) | conseiller et assister la Commission en ce qui concerne l’élaboration du formulaire européen de consentement à l’altruisme en matière de données conformément à l’article 25, paragraphe 1; |
| m) | conseiller la Commission en ce qui concerne l’amélioration du cadre réglementaire international des données à caractère non personnel, y compris la normalisation. |
CHAPITRE VII
Accès international et transfert international
whereas