keyboard_tab Digital Governance Act 2022/0868 FR
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 4 Art. 2 Définitions
- 1 Art. 4 Interdiction des accords d’exclusivité
- 1 Art. 7 Organismes compétents
- 1 Art. 12 Conditions liées à la fourniture de services d’intermédiation de données
- 1 Art. 15 Dérogations
- 1 Art. 16 Dispositions nationales relatives à l’altruisme en matière de données
- 2 Art. 18 Conditions générales d’enregistrement
- 1 Art. 19 Enregistrement d’organisations altruistes en matière de données reconnues
- 2 Art. 20 Obligations de transparence
- 3 Art. 21 Exigences spécifiques visant à préserver les droits et intérêts des personnes concernées et des détenteurs de données quant à leurs données
- 1 Art. 35 Évaluation et réexamen
CHAPITRE I
Dispositions générales
CHAPITRE II
Réutilisation de certaines catégories de données protégées détenues par des organismes du secteur public
CHAPITRE III
Exigences applicables aux services d’intermédiation de données
CHAPITRE IV
Altruisme en matière de données
CHAPITRE V
Autorités compétentes et dispositions procédurales
CHAPITRE VI
Comité européen de l’innovation dans le domaine des données
CHAPITRE VII
Accès international et transfert international
CHAPITRE VIII
Délégation et comité
CHAPITRE IX
Dispositions finales et transitoires
- données
- réutilisation
- données à caractère personnel
- données à caractère non personnel
- consentement
- autorisation
- personne concernée
- détenteur de données
- utilisateur de données
- partage de données
- service d’intermédiation de données
- traitement
- accès
- établissement principal
- services de coopératives de données
- altruisme en matière de données
- organisme du secteur public
- organismes de droit public
- entreprise publique
- environnement de traitement sécurisé
- représentant légal
- données 245
- pour 67
- dans 65
- matière 54
- services 48
- d’intermédiation 37
- conseil 37
- européen 36
- personnes 36
- caractère 34
- parlement 34
- droit 33
- traitement 32
- personnel 32
- public 30
- organismes 27
- concernées 24
- règlement 23
- altruistes 22
- l’union 22
- organisations 21
- détenteurs 20
- secteur 20
- fins 19
- l’entité 19
- prestataire 18
- l’article 18
- accès 17
- national 17
- //ce 16
- directive 16
- reconnue 16
- altruiste 16
- général 16
- être 15
- sont 15
- membres 15
- no / 15
- leurs 15
- concerne 15
- droits 14
- l’ 14
- commission 14
- d’une 14
- d’intérêt 13
- d’un 13
- réutilisation 13
- compris 13
- autres 13
- paragraphe 12
Article 2
Définitions
Aux fins du présent règlement, on entend par:
| 1) | « données»: toute représentation numérique d’actes, de faits ou d’informations et toute compilation de ces actes, faits ou informations, notamment sous la forme d’enregistrements sonores, visuels ou audiovisuels; |
| 2) | « réutilisation»: l’utilisation, par des personnes physiques ou morales, de données détenues par des organismes du secteur public, à des fins commerciales ou non commerciales autres que l’objectif initial de la mission de service public pour lequel les données ont été produites, à l’exception de l’échange de données entre des organismes du secteur public aux seules fins de l’exercice de leur mission de service public; |
| 3) | « données à caractère personnel»: les données à caractère personnel au sens de l’article 4, point 1), du règlement (UE) 2016/679; |
| 4) | « données à caractère non personnel»: les données autres que les données à caractère personnel; |
| 5) | « consentement»: le consentement au sens de l’article 4, point 11), du règlement (UE) 2016/679; |
| 6) | « autorisation»: le fait d’accorder aux utilisateurs de données le droit au traitement de données à caractère non personnel; |
| 7) | « personne_concernée»: la personne_concernée visée à l’article 4, point 1), du règlement (UE) 2016/679; |
| 8) | «détenteur de données»: une personne morale, y compris des organismes du secteur public et des organisations internationales, ou une personne physique qui n’est pas une personne_concernée pour ce qui est des données spécifiques considérées, qui, conformément au droit de l’Union ou au droit national applicable, a le droit d’octroyer l’ accès à certaines données à caractère personnel ou non personnel; |
| 9) | «utilisateur de données»: une personne physique ou morale qui dispose d’un accès licite à certaines données à caractère personnel ou non personnel et qui a le droit, y compris au titre du règlement (UE) 2016/679 lorsqu’il s’agit de données à caractère personnel, d’utiliser ces données à des fins commerciales ou non commerciales; |
| 10) | «partage de données»: la fourniture de données à un utilisateur de données par une personne_concernée ou un détenteur de données, en vue de l’utilisation conjointe ou individuelle desdites données, sur la base d’accords volontaires ou du droit de l’Union ou du droit national, directement ou via un intermédiaire, par exemple dans le cadre de licences ouvertes ou commerciales, moyennant le paiement d’une redevance ou gratuitement; |
| 11) | «service d’intermédiation de données»: un service qui vise à établir des relations commerciales à des fins de partage de données entre un nombre indéterminé de personnes concernées et de détenteurs de données, d’une part, et d’utilisateurs de données, d’autre part, par des moyens techniques, juridiques ou autres, y compris aux fins de l’exercice des droits des personnes concernées en ce qui concerne les données à caractère personnel, à l’exclusion au minimum de ce qui suit:
|
| 12) | « traitement»: le traitement au sens de l’article 4, point 2), du règlement (UE) 2016/679 en ce qui concerne les données à caractère personnel ou de l’article 3, point 2), du règlement (UE) 2018/1807 en ce qui concerne les données à caractère non personnel; |
| 13) | « accès»: l’utilisation de données conformément à des exigences techniques, juridiques ou organisationnelles particulières, sans que cela implique nécessairement la transmission ou le téléchargement de données; |
| 14) | « établissement_principal»: en ce qui concerne une personne morale, le lieu de son administration centrale dans l’Union; |
| 15) | «services de coopératives de données»: les services d’intermédiation de données proposés par une structure organisationnelle constituée de personnes concernées, d’entreprises unipersonnelles ou de PME qui sont membres de cette structure dont les objectifs principaux consistent à aider ses membres à exercer leurs droits à l’égard de certaines données, y compris quant au fait d’opérer des choix en connaissance de cause avant qu’ils ne consentent au traitement de données, à mener des échanges de vues sur les finalités et les conditions du traitement de données qui représenteraient le mieux les intérêts de ses membres en ce qui concerne leurs données, et à négocier les conditions et modalités du traitement des données au nom de ses membres avant que ceux-ci ne donnent l’ autorisation de traiter des données à caractère non personnel ou ne donnent leur consentement au traitement de données à caractère personnel; |
| 16) | «altruisme en matière de données»: le partage volontaire de données fondé sur le consentement donné par les personnes concernées au traitement de données à caractère personnel les concernant, ou l’ autorisation accordée par des détenteurs de données pour l’utilisation de leurs données à caractère non personnel sans demander ni recevoir de contrepartie qui aille au-delà de la compensation des coûts qu’ils supportent lorsqu’ils mettent à disposition leurs données, pour des objectifs d’intérêt général prévus par le droit national, le cas échéant, par exemple les soins de santé, la lutte contre le changement climatique, l’amélioration de la mobilité, la facilitation du développement, de la production et de la diffusion de statistiques officielles, l’amélioration de la prestation de services publics, l’élaboration des politiques publiques ou la recherche scientifique dans l’intérêt général; |
| 17) | « organisme_du_secteur_public»: l’État, les autorités régionales ou locales, les organismes_de_droit_public ou les associations formées par une ou plusieurs de ces autorités ou un ou plusieurs de ces organismes_de_droit_public; |
| 18) | « organismes_de_droit_public»: les organismes présentant les caractéristiques suivantes:
|
| 19) | « entreprise_publique»: toute entreprise sur laquelle les organismes du secteur public peuvent exercer directement ou indirectement une influence dominante du fait de la propriété de l’entreprise, de la participation financière qu’ils y détiennent ou des règles qui la régissent; aux fins de la présente définition, une influence dominante des organismes du secteur public sur l’entreprise est présumée dans tous les cas suivants lorsque ces organismes, directement ou indirectement:
|
| 20) | «environnement de traitement sécurisé»: l’environnement physique ou virtuel et les moyens organisationnels pour garantir le respect du droit de l’Union, tel que le règlement (UE) 2016/679, en particulier en ce qui concerne les droits des personnes concernées, les droits de propriété intellectuelle, la confidentialité commerciale et le secret statistique, l’intégrité et l’accessibilité, ainsi que le respect du droit national applicable, et pour permettre à l’entité fournissant l’environnement de traitement sécurisé de déterminer et de surveiller toutes les opérations de traitement de données, notamment l’affichage, le stockage, le téléchargement et l’exportation de données et le calcul de données dérivées au moyen d’algorithmes de calcul; |
| 21) | « représentant_légal»: une personne physique ou morale établie dans l’Union, expressément désignée pour agir pour le compte d’un prestataire de services d’intermédiation de données ou d’une entité qui collecte pour des objectifs d’intérêt général des données mises à disposition par des personnes physiques ou morales sur le fondement de l’altruisme en matière de données non établi(e) dans l’Union, qui peut être contactée par les autorités compétentes en matière de services d’intermédiation de données et les autorités compétentes pour l’enregistrement des organisations altruistes en matière de données en plus du prestataire de services d’intermédiation de données ou de l’entité, ou à leur place, en ce qui concerne les obligations prévues dans le présent règlement, y compris en ce qui concerne le lancement d’une procédure d’exécution à l’encontre d’un prestataire de services d’intermédiation de données ou d’une entité non établi(e) dans l’Union qui ne respecte pas ses obligations. |
CHAPITRE II
Réutilisation de certaines catégories de données protégées détenues par des organismes du secteur public
Article 4
Interdiction des accords d’exclusivité
1. Sont interdits les accords ou autres pratiques relatifs à la réutilisation de données détenues par des organismes du secteur public contenant des catégories de données visées à l’article 3, paragraphe 1, qui octroient des droits d’exclusivité ou qui ont pour objet ou pour effet d’octroyer de tels droits d’exclusivité ou de restreindre la disponibilité des données à des fins de réutilisation par des entités autres que les parties à ces accords ou autres pratiques.
2. Par dérogation au paragraphe 1, un droit d’exclusivité pour la réutilisation des données visées audit paragraphe peut être accordé dans la mesure nécessaire à la fourniture d’un service ou d’un produit d’intérêt général qui, sans cela, ne pourrait pas être obtenu.
3. Un droit d’exclusivité tel qu’il est visé au paragraphe 2 est accordé par le biais d’un acte administratif ou d’un arrangement contractuel conformément au droit de l’Union ou au droit national applicable, dans le respect des principes de transparence, d’égalité de traitement et de non-discrimination.
4. La durée du droit d’exclusivité pour la réutilisation des données ne dépasse pas douze mois. Lorsqu’un contrat est conclu, la durée du contrat est la même que la durée du droit d’exclusivité.
5. L’octroi d’un droit d’exclusivité en vertu des paragraphes 2, 3 et 4, notamment les raisons justifiant la nécessité d’accorder un tel droit, est transparent et est rendu public en ligne, sous une forme qui respecte les dispositions pertinentes du droit de l’Union en matière de marchés publics.
6. Les accords ou autres pratiques tombant sous le coup de l’interdiction visée au paragraphe 1 qui ne remplissent pas les conditions prévues aux paragraphes 2 et 3, et qui ont été respectivement conclus ou convenues avant le 23 juin 2022 prennent fin au terme du contrat applicable et, en tout état de cause, au plus tard le 24 décembre 2024.
Article 7
Organismes compétents
1. En vue d’effectuer les tâches visées au présent article, chaque État membre désigne un ou plusieurs organismes compétents, qui peuvent être compétents pour un secteur particulier, pour aider les organismes du secteur public qui octroient ou refusent l’ accès aux fins de la réutilisation des catégories de données visées à l’article 3, paragraphe 1. Les États membres peuvent soit établir un ou plusieurs nouveaux organismes compétents, soit s’appuyer sur des organismes du secteur public ou sur des services internes d’organismes du secteur public existants qui remplissent les conditions fixées par le présent règlement.
2. Les organismes compétents peuvent également être habilités à octroyer l’ accès aux fins de la réutilisation des catégories de données visées à l’article 3, paragraphe 1, en application des dispositions du droit de l’Union ou du droit national qui prévoient l’octroi d’un tel accès. Lorsqu’ils octroient ou refusent l’ accès à des fins de réutilisation, les articles 4, 5, 6 et 9 s’appliquent à ces organismes compétents.
3. Les organismes compétents disposent des ressources juridiques, financières, techniques et humaines suffisantes pour mener à bien les tâches qui leur sont assignées, y compris des connaissances techniques nécessaires pour être en mesure de respecter le droit de l’Union ou le droit national applicable en ce qui concerne les régimes d’ accès pour les catégories de données visées à l’article 3, paragraphe 1.
4. L’assistance prévue au paragraphe 1 consiste notamment, le cas échéant:
| a) | à fournir une assistance technique en mettant à disposition un environnement de traitement sécurisé pour donner accès à la réutilisation de données; |
| b) | à fournir des orientations et une assistance technique sur la meilleure manière de structurer et de stocker les données pour les rendre facilement accessibles; |
| c) | à fournir un soutien technique pour la pseudonymisation et à garantir le traitement des données d’une manière qui préserve efficacement le caractère privé, la confidentialité, l’intégrité et l’accessibilité des informations contenues dans les données pour lesquelles la réutilisation est autorisée, notamment les techniques d’anonymisation, de généralisation, de suppression et de randomisation des données à caractère personnel ou d’autres méthodes de préservation de la vie privée à la pointe de la technologie, et la suppression des informations commerciales confidentielles, y compris les secrets d’affaires ou les contenus protégés par des droits de propriété intellectuelle; |
| d) | à aider les organismes du secteur public, le cas échéant, à fournir une assistance aux réutilisateurs pour demander le consentement des personnes concernées à la réutilisation ou l’ autorisation des détenteurs de données conformément à leurs décisions spécifiques, y compris en ce qui concerne le territoire où le traitement des données est prévu et à aider les organismes du secteur public à mettre en place des mécanismes techniques permettant la transmission des demandes de consentement ou d’ autorisation des réutilisateurs, lorsque cela est réalisable en pratique; |
| e) | à fournir aux organismes du secteur public une assistance lorsqu’il s’agit d’évaluer l’adéquation des engagements contractuels pris par un réutilisateur en vertu de l’article 5, paragraphe 10. |
5. Chaque État membre notifie à la Commission l’identité des organismes compétents désignés en application du paragraphe 1 au plus tard le 24 septembre 2023. Chaque État membre notifie également à la Commission toute modification ultérieure concernant l’identité de ces organismes compétents.
Article 12
Conditions liées à la fourniture de services d’intermédiation de données
La fourniture de services d’intermédiation de données visés à l’article 10 est soumise aux conditions suivantes:
| a) | le prestataire de services d’intermédiation de données ne peut pas utiliser les données pour lesquelles il fournit des services d’intermédiation de données à des fins autres que leur mise à disposition des utilisateurs de données, et il fournit les services d’intermédiation de données par l’intermédiaire d’une personne morale distincte; |
| b) | les modalités commerciales, y compris la tarification, de la fourniture de services d’intermédiation de données à un détenteur de données ou à un utilisateur de données ne doivent pas être subor données au fait que le détenteur de données ou l’utilisateur de données utilise ou non d’autres services fournis par le même prestataire de services d’intermédiation de données ou par une entité liée, et dans l’affirmative, à la mesure dans laquelle le détenteur de données ou l’utilisateur de données utilise ces autres services; |
| c) | les données collectées en ce qui concerne toute activité d’une personne physique ou morale aux fins de la fourniture d’un service d’intermédiation de données, notamment la date, l’heure et les données de géolocalisation, la durée de l’activité et les connexions établies avec d’autres personnes physiques ou morales par la personne qui utilise le service d’intermédiation de données ne doivent être utilisées que pour le développement dudit service d’intermédiation de données, ce qui peut impliquer l’utilisation de données pour la détection de fraudes ou pour la cybersécurité, et sont mises à la disposition des détenteurs de données sur demande; |
| d) | le prestataire de services d’intermédiation de données facilite l’échange des données au format dans lequel il les reçoit d’une personne_concernée ou d’un détenteur des données, ne convertit les données dans des formats spécifiques que pour améliorer l’interopérabilité intrasectorielle et transsectorielle, ou si l’utilisateur de données le demande, ou lorsque le droit de l’Union le requiert, ou pour assurer l’harmonisation avec des normes internationales ou européennes en matière de données, et donne aux personnes concernées ou aux détenteurs de données une possibilité de non-participation en ce qui concerne ces conversions, à moins que la conversion ne soit requise par le droit de l’Union; |
| e) | les services d’intermédiation de données peuvent prévoir de fournir aux détenteurs de données ou aux personnes concernées des instruments et services spécifiques supplémentaires dans le but particulier de faciliter l’échange de données, tels que le stockage temporaire, l’organisation, la conversion, l’anonymisation et la pseudonymisation, ces instruments étant uniquement utilisés à la demande expresse ou moyennant l’approbation expresse du détenteur de données ou de la personne_concernée et les instruments de tiers proposés dans ce contexte nétant pas utilisés à d’autres fins; |
| f) | le prestataire de services d’intermédiation de données veille à ce que la procédure d’ accès à son service soit équitable, transparente et non discriminatoire à l’égard tant des personnes concernées et des détenteurs de données que des utilisateurs de données, y compris en ce qui concerne les prix et les conditions de service; |
| g) | le prestataire de services d’intermédiation de données met en place des procédures pour prévenir les pratiques frauduleuses ou abusives en lien avec des parties cherchant à obtenir un accès via ses services d’intermédiation de données; |
| h) | en cas d’insolvabilité, le prestataire de services d’intermédiation de données assure une continuité raisonnable de la fourniture de ses services d’intermédiation de données et, lorsque ces services d’intermédiation de données assurent le stockage de données, il met en place des mécanismes pour permettre aux détenteurs de données et aux utilisateurs de données d’avoir accès à leurs données, de les transférer ou de les extraire et, lorsque ces services d’intermédiation de données sont fournis entre des personnes concernées et des utilisateurs de données, pour permettre aux personnes concernées d’exercer leurs droits; |
| i) | le prestataire de services d’intermédiation de données prend les mesures appropriées pour assurer l’interopérabilité avec d’autres services d’intermédiation de données, entre autres au moyen de normes ouvertes communément utilisées dans le secteur dans lequel le prestataire de services d’intermédiation de données exerce ses activités; |
| j) | le prestataire de services d’intermédiation de données met en place des mesures techniques, juridiques et organisationnelles appropriées afin d’empêcher le transfert de données à caractère non personnel ou l’ accès à celles-ci dans les cas où ils sont illicites au regard du droit de l’Union ou du droit national de l’État membre concerné; |
| k) | le prestataire de services d’intermédiation de données informe sans retard les détenteurs de données en cas de transfert, d’ accès ou d’utilisation non autorisés portant sur les données à caractère non personnel qu’il a partagées; |
| l) | le prestataire de services d’intermédiation de données prend les mesures nécessaires pour garantir un niveau de sécurité approprié pour le stockage, le traitement et la transmission de données à caractère non personnel, et le prestataire de services d’intermédiation de données garantit également le niveau de sécurité le plus élevé pour le stockage et la transmission d’informations sensibles sous l’angle de la concurrence; |
| m) | le prestataire de services d’intermédiation de données proposant des services à des personnes concernées agit au mieux de leurs intérêts lorsqu’il facilite l’exercice de leurs droits, notamment en informant et, le cas échéant, en conseillant les personnes concernées de manière concise, transparente, compréhensible et aisément accessible sur les utilisations prévues des données par les utilisateurs de données et sur les conditions générales applicables à ces utilisations, avant que les personnes concernées ne donnent leur consentement; |
| n) | lorsqu’un prestataire de services d’intermédiation de données fournit des outils permettant d’obtenir le consentement de personnes concernées ou l’ autorisation de traiter des données mises à disposition par des détenteurs de données, il précise, le cas échéant, la juridiction des pays tiers où l’utilisation des données est prévue et fournit aux personnes concernées des outils permettant à la fois de donner et de retirer leur consentement et aux détenteurs de données des outils permettant à la fois de donner et de retirer l’ autorisation de traiter des données; |
| o) | le prestataire de services d’intermédiation de données tient un journal de l’activité d’intermédiation de données. |
Article 15
Dérogations
Le présent chapitre ne s’applique pas aux organisations altruistes en matière de données reconnues ni aux autres entités sans but lucratif dans la mesure où leurs activités consistent à collecter, pour des objectifs d’intérêt général, des données mises à disposition par des personnes physiques ou morales sur le fondement de l’altruisme en matière de données, à moins que ces organisations et entités ne visent à établir des relations commerciales entre un nombre indéterminé de personnes concernées et de détenteurs de données, d’une part, et des utilisateurs de données, d’autre part.
CHAPITRE IV
Altruisme en matière de données
Article 16
Dispositions nationales relatives à l’altruisme en matière de données
Les États membres peuvent avoir mis en place des dispositions organisationnelles ou techniques, ou les deux, pour faciliter l’altruisme en matière de données. À cette fin, les États membres peuvent élaborer des politiques nationales dans le domaine de l’altruisme en matière de données. Ces politiques nationales peuvent notamment aider les personnes concernées à mettre à disposition volontairement, à des fins d’altruisme en matière de données, des données à caractère personnel les concernant détenues par des organismes du secteur public, et déterminer les informations nécessaires qui doivent être fournies aux personnes concernées en ce qui concerne la réutilisation de leurs données dans l’intérêt général.
Si un État membre élabore de telles politiques nationales, il le notifie à la Commission.
Article 18
Conditions générales d’enregistrement
Pour être admise à l’enregistrement dans un registre public national des organisations altruistes en matière de données reconnues, une entité doit:
| a) | mener des activités altruistes en matière de données; |
| b) | être une personne morale constituée en vertu du droit national pour poursuivre des objectifs d’intérêt général prévus dans le droit national, le cas échéant; |
| c) | exercer ses activités dans un but non lucratif et être juridiquement indépendante de toute entité exerçant des activités dans un but lucratif; |
| d) | mener ses activités altruistes en matière de données par l’intermédiaire d’une structure qui, sur le plan fonctionnel, est distincte de ses autres activités; |
| e) | se conformer au recueil de règles visé à l’article 22, paragraphe 1, au plus tard dix-huit mois après la date d’entrée en vigueur des actes délégués visés audit paragraphe. |
Article 19
Enregistrement d’organisations altruistes en matière de données reconnues
1. Une entité qui satisfait aux exigences énoncées à l’article 18 peut présenter une demande d’enregistrement dans le registre public national des organisations altruistes en matière de données reconnues dans l’État membre dans lequel elle est établie.
2. Une entité qui satisfait aux exigences énoncées à l’article 18 et a des établissements dans plusieurs États membres peut présenter une demande d’enregistrement dans le registre public national des organisations altruistes en matière de données reconnues dans l’État membre dans lequel elle a son établissement_principal.
3. Une entité qui satisfait aux exigences énoncées à l’article 18 mais qui n’est pas établie dans l’Union désigne un représentant_légal dans l’un des États membres dans lesquels les services fondés sur l’altruisme en matière de données sont proposés.
Aux fins de garantir le respect du présent règlement, le représentant_légal est mandaté par l’entité pour être contacté, en plus de ladite entité ou à sa place, par les autorités compétentes pour l’enregistrement des organisations altruistes en matière de données ou les personnes concernées et les détenteurs de données, sur toutes les questions liées à ladite entité. Le représentant_légal coopère avec les autorités compétentes pour l’enregistrement des organisations altruistes en matière de données et leur démontre de manière exhaustive, sur demande, les mesures prises et les dispositions mises en place par l’entité pour garantir le respect du présent règlement.
L’entité est considérée comme relevant de la compétence de l’État membre dans lequel se trouve son représentant_légal. Une telle entité peut présenter une demande d’enregistrement dans le registre public national des organisations altruistes en matière de données reconnues dans cet État membre. La désignation d’un représentant_légal par l’entité est sans préjudice d’actions en justice qui pourraient être intentées contre l’entité.
4. Les demandes d’enregistrement visées aux paragraphes 1, 2 et 3 comportent les renseignements suivants:
| a) | le nom de l’entité; |
| b) | le statut juridique et la forme de l’entité ainsi que, lorsque l’entité est enregistrée dans un registre public national, son numéro d’enregistrement; |
| c) | les statuts de l’entité, le cas échéant; |
| d) | les sources de revenus de l’entité; |
| e) | l’adresse de l’éventuel établissement_principal de l’entité dans l’Union et, le cas échéant, de toute succursale dans un autre État membre, ou l’adresse du représentant_légal; |
| f) | un site internet public contenant des informations complètes et à jour sur l’entité et ses activités, y compris au minimum les renseignements visés aux points a), b), d), e) et h); |
| g) | les personnes de contact et les coor données de l’entité; |
| h) | les objectifs d’intérêt général qu’elle entend promouvoir par la collecte de données; |
| i) | la nature des données que l’entité entend contrôler ou traiter et, dans le cas des données à caractère personnel, une indication des catégories de données à caractère personnel; |
| j) | tout autre document démontrant qu’il est satisfait aux exigences énoncées à l’article 18. |
5. Lorsque l’entité a fourni tous les renseignements nécessaires en vertu du paragraphe 4 et après que l’autorité compétente pour l’enregistrement des organisations altruistes en matière de données a évalué la demande d’enregistrement et établi que l’entité satisfait aux exigences énoncées à l’article 18, ladite autorité enregistre l’entité dans le registre public national des organisations altruistes en matière de données reconnues, dans un délai de douze semaines suivant la date de réception de la demande d’enregistrement. L’enregistrement est valable dans tous les États membres.
L’autorité compétente pour l’enregistrement des organisations altruistes en matière de données notifie tout enregistrement à la Commission. La Commission fait figurer l’enregistrement concerné dans le registre public de l’Union des organisations altruistes en matière de données reconnues.
6. Les renseignements visés au paragraphe 4, points a), b), f), g) et h), sont publiés dans le registre public national des organisations altruistes en matière de données reconnues concerné.
7. L’organisation altruiste en matière de données reconnue notifie à l’autorité compétente pour l’enregistrement des organisations altruistes en matière de données concernée toute modification des renseignements communiqués en vertu du paragraphe 4 dans un délai de quatorze jours à compter de la date de la modification.
L’autorité compétente pour l’enregistrement des organisations altruistes en matière de données notifie à la Commission, sans retard et par voie électronique, chaque notification de ce type. Sur la base d’une telle notification, la Commission met à jour, sans retard, le registre public de l’Union des organisations altruistes en matière de données reconnues.
Article 20
Obligations de transparence
1. L’organisation altruiste en matière de données reconnue tient des registres complets et exacts concernant:
| a) | toutes les personnes physiques ou morales qui se sont vu offrir la possibilité de traiter des données détenues par cette organisation altruiste en matière de données reconnue, ainsi que leurs coor données; |
| b) | la date ou la durée du traitement des données à caractère personnel ou de l’utilisation des données à caractère non personnel; |
| c) | la finalité du traitement, telle qu’elle a été déclarée par la personne physique ou morale qui s’est vu offrir la possibilité d’effectuer ce traitement; |
| d) | les éventuelles redevances acquittées par les personnes physiques ou morales traitant les données. |
2. L’organisation altruiste en matière de données reconnue établit et transmet à l’autorité compétente pour l’enregistrement des organisations altruistes en matière de données concernée un rapport annuel d’activité qui contient au moins les éléments suivants:
| a) | des informations sur les activités de l’organisation altruiste en matière de données reconnue; |
| b) | une description de la manière dont les objectifs d’intérêt général pour lesquels des données ont été collectées ont été promus pendant l’exercice considéré; |
| c) | une liste de toutes les personnes physiques et morales qui ont été autorisées à traiter des données qu’elle détient, assortie d’une description sommaire des objectifs d’intérêt général poursuivis par ce traitement de données et de la description des moyens techniques employés en vue de cette utilisation, y compris une description des techniques appliquées pour préserver la vie privée et la protection des données; |
| d) | une synthèse des résultats du traitement des données autorisé par l’organisation altruiste en matière de données reconnue, s’il y a lieu; |
| e) | des informations sur les sources de recettes de l’organisation altruiste en matière de données reconnue, en particulier toutes les recettes résultant de l’ autorisation d’ accès aux données, et sur les dépenses. |
Article 21
Exigences spécifiques visant à préserver les droits et intérêts des personnes concernées et des détenteurs de données quant à leurs données
1. L’organisation altruiste en matière de données reconnue informe les personnes concernées ou les détenteurs de données préalablement à tout traitement de leurs données d’une manière claire et aisément intelligible:
| a) | des objectifs d’intérêt général et, le cas échéant, de la finalité déterminée, explicite et légitime pour laquelle les données à caractère personnel doivent être traitées et pour laquelle elle autorise le traitement de données les concernant par un utilisateur de données; |
| b) | de la localisation de tout traitement effectué dans un pays tiers et des objectifs d’intérêt général pour lesquels elle autorise ledit traitement, lorsque le traitement est effectué par l’organisation altruiste en matière de données reconnue. |
2. L’organisation altruiste en matière de données reconnue n’utilise pas les données pour des objectifs autres que ceux d’intérêt général pour lesquels la personne_concernée ou le détenteur des données autorise le traitement. L’organisation altruiste en matière de données reconnue ne recourt pas à des pratiques commerciales trompeuses pour solliciter la fourniture de données.
3. L’organisation altruiste en matière de données reconnue fournit des outils permettant d’obtenir le consentement des personnes concernées ou l’ autorisation de traiter des données mises à disposition par des détenteurs de données. L’organisation altruiste en matière de données reconnue fournit également des outils permettant de retirer facilement ce consentement ou cette autorisation.
4. L’organisation altruiste en matière de données reconnue prend des mesures pour assurer un niveau de sécurité approprié pour le stockage et le traitement des données à caractère non personnel qu’elle a collectées sur le fondement de l’altruisme en matière de données.
5. L’organisation altruiste en matière de données reconnue informe, sans retard, les détenteurs de données de tout transfert, de tout accès ou de toute utilisation non autorisés portant sur les données à caractère non personnel qu’elle a partagées.
6. Lorsque l’organisation altruiste en matière de données reconnue facilite le traitement de données par des tiers, y compris en fournissant des outils permettant d’obtenir le consentement de personnes concernées ou l’ autorisation de traiter des données mises à disposition par des détenteurs de données, elle précise, le cas échéant, la juridiction du pays tiers où l’utilisation des données est prévue.
Article 35
Évaluation et réexamen
Au plus tard le 24 septembre 2025, la Commission procède à une évaluation du présent règlement et présente ses principales conclusions dans un rapport au Parlement européen et au Conseil ainsi qu’au Comité économique et social européen. Ce rapport est au besoin accompagné de propositions législatives.
Ce rapport porte en particulier sur:
| a) | l’application et le fonctionnement du régime de sanctions établi par les États membres en vertu de l’article 34; |
| b) | le niveau de respect du présent règlement par les représentants légaux des prestataires de services d’intermédiation de données et des organisations altruistes en matière de données reconnues qui ne sont pas établis dans l’Union et le niveau d’applicabilité des sanctions imposées à ces prestataires et organisations; |
| c) | le type d’organisations altruistes en matière de données enregistrées au titre du chapitre IV et un aperçu des objectifs d’intérêt général pour lesquels les données sont partagées en vue d’établir des critères clairs à cet égard. |
Les États membres fournissent à la Commission les informations nécessaires à l’établissement de ce rapport.
Article 38
Entrée en vigueur et application
Le présent règlement entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne.
Il est applicable à partir du 24 septembre 2023.
Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans tout État membre.
Fait à Bruxelles, le 30 mai 2022.
Par le Parlement européen
La présidente
R. METSOLA
Par le Conseil
Le président
B. LE MAIRE
(1) JO C 286 du 16.7.2021, p. 38.
(2) Position du Parlement européen du 6 avril 2022 (non encore parue au Journal officiel) et décision du Conseil du 16 mai 2022.
(3) Recommandation 2003/361/CE de la Commission du 6 mai 2003 concernant la définition des micro, petites et moyennes entreprises (JO L 124 du 20.5.2003, p. 36).
(4) Directive 2011/24/UE du Parlement européen et du Conseil du 9 mars 2011 relative à l’application des droits des patients en matière de soins de santé transfrontaliers (JO L 88 du 4.4.2011, p. 45).
(5) Règlement (UE) 2019/1239 du Parlement européen et du Conseil du 20 juin 2019 établissant un système de guichet unique maritime européen et abrogeant la directive 2010/65/UE (JO L 198 du 25.7.2019, p. 64).
(6) Règlement (UE) 2020/1056 du Parlement européen et du Conseil du 15 juillet 2020 concernant les informations électroniques relatives au transport de marchandises (JO L 249 du 31.7.2020, p. 33).
(7) Directive 2010/40/UE du parlement européen et du Conseil du 7 juillet 2010 concernant le cadre pour le déploiement de systèmes de transport intelligents dans le domaine du transport routier et d’interfaces avec d’autres modes de transport (JO L 207 du 6.8.2010, p. 1).
(8) Règlement (CE) no 223/2009 du Parlement européen et du Conseil du 11 mars 2009 relatif aux statistiques européennes et abrogeant le règlement (CE, Euratom) no 1101/2008 relatif à la transmission à l’Office statistique des Communautés européennes d’informations statistiques couvertes par le secret, le règlement (CE) no 322/97 du Conseil relatif à la statistique communautaire et la décision 89/382/CEE, Euratom du Conseil instituant un comité du programme statistique des Communautés européennes (JO L 87 du 31.3.2009, p. 164).
(9) Règlement (UE) 2018/858 du Parlement européen et du Conseil du 30 mai 2018 relatif à la réception et à la surveillance du marché des véhicules à moteur et de leurs remorques, ainsi que des systèmes, composants et entités techniques distinctes destinés à ces véhicules, modifiant les règlements (CE) no 715/2007 et (CE) no 595/2009 et abrogeant la directive 2007/46/CE (JO L 151 du 14.6.2018, p. 1).
(10) Règlement (UE) 2018/1807 du Parlement européen et du Conseil du 14 novembre 2018 établissant un cadre applicable au libre flux des données à caractère non personnel dans l’Union européenne (JO L 303 du 28.11.2018, p. 59).
(11) Directive 2000/31/CE du Parlement européen et du Conseil du 8 juin 2000 relative à certains aspects juridiques des services de la société de l’information, et notamment du commerce électronique, dans le marché intérieur («directive sur le commerce électronique») (JO L 178 du 17.7.2000, p. 1).
(12) Directive 2001/29/CE du Parlement européen et du Conseil du 22 mai 2001 sur l’harmonisation de certains aspects du droit d’auteur et des droits voisins dans la société de l’information (JO L 167 du 22.6.2001, p. 10).
(13) Directive 2004/48/CE du Parlement européen et du Conseil du 29 avril 2004 relative au respect des droits de propriété intellectuelle (JO L 157 du 30.4.2004, p. 45).
(14) Directive 2007/2/CE du Parlement européen et du Conseil du 14 mars 2007 établissant une infrastructure d’information géographique dans la Communauté européenne (INSPIRE) (JO L 108 du 25.4.2007, p. 1).
(15) Directive (UE) 2015/849 du Parlement européen et du Conseil du 20 mai 2015 relative à la prévention de l’utilisation du système financier aux fins du blanchiment de capitaux ou du financement du terrorisme, modifiant le règlement (UE) no 648/2012 du Parlement européen et du Conseil et abrogeant la directive 2005/60/CE du Parlement européen et du Conseil et la directive 2006/70/CE de la Commission (JO L 141 du 5.6.2015, p. 73).
(16) Directive (UE) 2016/943 du Parlement européen et du Conseil du 8 juin 2016 sur la protection des savoir-faire et des informations commerciales non divulgués (secrets d’affaires) contre l’obtention, l’utilisation et la divulgation illicites (JO L 157 du 15.6.2016, p. 1).
(17) Directive (UE) 2017/1132 du Parlement européen et du Conseil du 14 juin 2017 relative à certains aspects du droit des sociétés (JO L 169 du 30.6.2017, p. 46).
(18) Directive (UE) 2019/790 du Parlement européen et du Conseil du 17 avril 2019 sur le droit d’auteur et les droits voisins dans le marché unique numérique et modifiant les directives 96/9/CE et 2001/29/CE (JO L 130 du 17.5.2019, p. 92).
(19) Directive (UE) 2019/1024 du Parlement européen et du Conseil du 20 juin 2019 concernant les données ouvertes et la réutilisation des informations du secteur public (JO L 172 du 26.6.2019, p. 56).
(20) Directive 2009/81/CE du Parlement européen et du Conseil du 13 juillet 2009 relative à la coordination des procédures de passation de certains marchés de travaux, de fournitures et de services par des pouvoirs adjudicateurs ou entités adjudicatrices dans les domaines de la défense et de la sécurité, et modifiant les directives 2004/17/CE et 2004/18/CE (JO L 216 du 20.8.2009, p. 76).
(21) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1).
(22) Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) no 45/2001 et la décision no 1247/2002/CE (JO L 295 du 21.11.2018, p. 39).
(23) Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (JO L 201 du 31.7.2002, p. 37).
(24) Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil (JO L 119 du 4.5.2016, p. 89).
(25) Règlement (UE) no 557/2013 de la Commission du 17 juin 2013 mettant en œuvre le règlement (CE) no 223/2009 du Parlement européen et du Conseil relatif aux statistiques européennes en ce qui concerne l’ accès aux données confidentielles à des fins scientifiques et abrogeant le règlement (CE) no 831/2002 de la Commission (JO L 164 du 18.6.2013, p. 16).
(26) Directive 96/9/CE du Parlement européen et du Conseil du 11 mars 1996 concernant la protection juridique des bases de données (JO L 77 du 27.3.1996, p. 20).
(27) Règlement (UE) no 600/2014 du Parlement européen et du Conseil du 15 mai 2014 concernant les marchés d’instruments financiers et modifiant le règlement (UE) no 648/2012 (JO L 173 du 12.6.2014, p. 84).
(28) Directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur, modifiant les directives 2002/65/CE, 2009/110/CE et 2013/36/UE et le règlement (UE) no 1093/2010, et abrogeant la directive 2007/64/CE (JO L 337 du 23.12.2015, p. 35).
(29) Règlement (UE) 2018/1724 du Parlement européen et du Conseil du 2 octobre 2018 établissant un portail numérique unique pour donner accès à des informations, à des procédures et à des services d’assistance et de résolution de problèmes, et modifiant le règlement (UE) no 1024/2012 (JO L 295 du 21.11.2018, p. 1).
(30) JO L 123 du 12.5.2016, p. 1.
(31) Règlement (UE) no 182/2011 du Parlement européen et du Conseil du 16 février 2011 établissant les règles et principes généraux relatifs aux modalités de contrôle par les États membres de l’exercice des compétences d’exécution par la Commission (JO L 55 du 28.2.2011, p. 13).
(32) Directive (UE) 2016/2102 du Parlement européen et du Conseil du 26 octobre 2016 relative à l’accessibilité des sites internet et des applications mobiles des organismes du secteur public (JO L 327 du 2.12.2016, p. 1).
(33) Directive (UE) 2019/882 du Parlement européen et du Conseil du 17 avril 2019 relative aux exigences en matière d’accessibilité applicables aux produits et services (JO L 151 du 7.6.2019, p. 70).