Digital Governance Act 2022/0868 FR

1)	« données»: toute représentation numérique d’actes, de faits ou d’informations et toute compilation de ces actes, faits ou informations, notamment sous la forme d’enregistrements sonores, visuels ou audiovisuels;

« réutilisation»: l’utilisation, par des personnes physiques ou morales, de données détenues par des organismes du secteur public, à des fins commerciales ou non commerciales autres que l’objectif initial de la mission de service public pour lequel les données ont été produites, à l’exception de l’échange de données entre des organismes du secteur public aux seules fins de l’exercice de leur mission de service public;

3)	« données à caractère personnel»: les données à caractère personnel au sens de l’article 4, point 1), du règlement (UE) 2016/679;

4)	« données à caractère non personnel»: les données autres que les données à caractère personnel;

5)	« consentement»: le consentement au sens de l’article 4, point 11), du règlement (UE) 2016/679;

6)	« autorisation»: le fait d’accorder aux utilisateurs de données le droit au traitement de données à caractère non personnel;

7)	« personne_concernée»: la personne_concernée visée à l’article 4, point 1), du règlement (UE) 2016/679;

«détenteur de données»: une personne morale, y compris des organismes du secteur public et des organisations internationales, ou une personne physique qui n’est pas une personne_concernée pour ce qui est des données spécifiques considérées, qui, conformément au droit de l’Union ou au droit national applicable, a le droit d’octroyer l’ accès à certaines données à caractère personnel ou non personnel;

«utilisateur de données»: une personne physique ou morale qui dispose d’un accès licite à certaines données à caractère personnel ou non personnel et qui a le droit, y compris au titre du règlement (UE) 2016/679 lorsqu’il s’agit de données à caractère personnel, d’utiliser ces données à des fins commerciales ou non commerciales;

10)

«partage de données»: la fourniture de données à un utilisateur de données par une personne_concernée ou un détenteur de données, en vue de l’utilisation conjointe ou individuelle desdites données, sur la base d’accords volontaires ou du droit de l’Union ou du droit national, directement ou via un intermédiaire, par exemple dans le cadre de licences ouvertes ou commerciales, moyennant le paiement d’une redevance ou gratuitement;

11)

«service d’intermédiation de données»: un service qui vise à établir des relations commerciales à des fins de partage de données entre un nombre indéterminé de personnes concernées et de détenteurs de données, d’une part, et d’utilisateurs de données, d’autre part, par des moyens techniques, juridiques ou autres, y compris aux fins de l’exercice des droits des personnes concernées en ce qui concerne les données à caractère personnel, à l’exclusion au minimum de ce qui suit:

des services qui obtiennent des données auprès des détenteurs de données et les agrègent, les enrichissent ou les transforment afin d’en accroître substantiellement la valeur et concèdent une licence d’utilisation des données résultantes aux utilisateurs de données, sans établir de relation commerciale directe entre les détenteurs de données et les utilisateurs de données;

b)	des services axés sur l’intermédiation de contenus protégés par le droit d’auteur;

des services qui sont utilisés exclusivement par un seul détenteur de données pour lui permettre d’utiliser les données qu’il détient, ou qui sont utilisés par des personnes morales multiples au sein d’un groupe fermé, y compris dans le cadre de relations de fournisseur ou de client ou de collaborations établies par contrat, en particulier ceux qui ont pour principal objectif de garantir les fonctionnalités d’objets et de dispositifs connectés à l’internet des objets;

d)	des services pour le partage de données proposés par des organismes du secteur public qui ne cherchent pas à établir des relations commerciales;

12)	« traitement»: le traitement au sens de l’article 4, point 2), du règlement (UE) 2016/679 en ce qui concerne les données à caractère personnel ou de l’article 3, point 2), du règlement (UE) 2018/1807 en ce qui concerne les données à caractère non personnel;

13)	« accès»: l’utilisation de données conformément à des exigences techniques, juridiques ou organisationnelles particulières, sans que cela implique nécessairement la transmission ou le téléchargement de données;

14)	« établissement_principal»: en ce qui concerne une personne morale, le lieu de son administration centrale dans l’Union;

15)

«services de coopératives de données»: les services d’intermédiation de données proposés par une structure organisationnelle constituée de personnes concernées, d’entreprises unipersonnelles ou de PME qui sont membres de cette structure dont les objectifs principaux consistent à aider ses membres à exercer leurs droits à l’égard de certaines données, y compris quant au fait d’opérer des choix en connaissance de cause avant qu’ils ne consentent au traitement de données, à mener des échanges de vues sur les finalités et les conditions du traitement de données qui représenteraient le mieux les intérêts de ses membres en ce qui concerne leurs données, et à négocier les conditions et modalités du traitement des données au nom de ses membres avant que ceux-ci ne donnent l’ autorisation de traiter des données à caractère non personnel ou ne donnent leur consentement au traitement de données à caractère personnel;

16)

«altruisme en matière de données»: le partage volontaire de données fondé sur le consentement donné par les personnes concernées au traitement de données à caractère personnel les concernant, ou l’ autorisation accordée par des détenteurs de données pour l’utilisation de leurs données à caractère non personnel sans demander ni recevoir de contrepartie qui aille au-delà de la compensation des coûts qu’ils supportent lorsqu’ils mettent à disposition leurs données, pour des objectifs d’intérêt général prévus par le droit national, le cas échéant, par exemple les soins de santé, la lutte contre le changement climatique, l’amélioration de la mobilité, la facilitation du développement, de la production et de la diffusion de statistiques officielles, l’amélioration de la prestation de services publics, l’élaboration des politiques publiques ou la recherche scientifique dans l’intérêt général;

17)	« organisme_du_secteur_public»: l’État, les autorités régionales ou locales, les organismes_de_droit_public ou les associations formées par une ou plusieurs de ces autorités ou un ou plusieurs de ces organismes_de_droit_public;

18)

« organismes_de_droit_public»: les organismes présentant les caractéristiques suivantes:

a)	ils ont été créés pour satisfaire spécifiquement des besoins d’intérêt général et n’ont pas de caractère industriel ou commercial;

b)	ils sont dotés de la personnalité juridique;

ils sont financés majoritairement par l’État, les autorités régionales ou locales ou d’autres organismes_de_droit_public, leur gestion est soumise à un contrôle de ces autorités ou organismes, ou leur organe d’administration, de direction ou de surveillance est composé de membres dont plus de la moitié sont désignés par l’État, les autorités régionales ou locales ou d’autres organismes_de_droit_public;

19)

« entreprise_publique»: toute entreprise sur laquelle les organismes du secteur public peuvent exercer directement ou indirectement une influence dominante du fait de la propriété de l’entreprise, de la participation financière qu’ils y détiennent ou des règles qui la régissent; aux fins de la présente définition, une influence dominante des organismes du secteur public sur l’entreprise est présumée dans tous les cas suivants lorsque ces organismes, directement ou indirectement:

a)	détiennent la majorité du capital souscrit de l’entreprise;

b)	disposent de la majorité des voix attachées aux parts émises par l’entreprise;

c)	peuvent désigner plus de la moitié des membres de l’organe d’administration, de direction ou de surveillance de l’entreprise;

20)

«environnement de traitement sécurisé»: l’environnement physique ou virtuel et les moyens organisationnels pour garantir le respect du droit de l’Union, tel que le règlement (UE) 2016/679, en particulier en ce qui concerne les droits des personnes concernées, les droits de propriété intellectuelle, la confidentialité commerciale et le secret statistique, l’intégrité et l’accessibilité, ainsi que le respect du droit national applicable, et pour permettre à l’entité fournissant l’environnement de traitement sécurisé de déterminer et de surveiller toutes les opérations de traitement de données, notamment l’affichage, le stockage, le téléchargement et l’exportation de données et le calcul de données dérivées au moyen d’algorithmes de calcul;

21)

« représentant_légal»: une personne physique ou morale établie dans l’Union, expressément désignée pour agir pour le compte d’un prestataire de services d’intermédiation de données ou d’une entité qui collecte pour des objectifs d’intérêt général des données mises à disposition par des personnes physiques ou morales sur le fondement de l’altruisme en matière de données non établi(e) dans l’Union, qui peut être contactée par les autorités compétentes en matière de services d’intermédiation de données et les autorités compétentes pour l’enregistrement des organisations altruistes en matière de données en plus du prestataire de services d’intermédiation de données ou de l’entité, ou à leur place, en ce qui concerne les obligations prévues dans le présent règlement, y compris en ce qui concerne le lancement d’une procédure d’exécution à l’encontre d’un prestataire de services d’intermédiation de données ou d’une entité non établi(e) dans l’Union qui ne respecte pas ses obligations.

CHAPITRE II

Réutilisation de certaines catégories de données protégées détenues par des organismes du secteur public

Article 4

Interdiction des accords d’exclusivité

1. Sont interdits les accords ou autres pratiques relatifs à la réutilisation de données détenues par des organismes du secteur public contenant des catégories de données visées à l’article 3, paragraphe 1, qui octroient des droits d’exclusivité ou qui ont pour objet ou pour effet d’octroyer de tels droits d’exclusivité ou de restreindre la disponibilité des données à des fins de réutilisation par des entités autres que les parties à ces accords ou autres pratiques.

2. Par dérogation au paragraphe 1, un droit d’exclusivité pour la réutilisation des données visées audit paragraphe peut être accordé dans la mesure nécessaire à la fourniture d’un service ou d’un produit d’intérêt général qui, sans cela, ne pourrait pas être obtenu.

3. Un droit d’exclusivité tel qu’il est visé au paragraphe 2 est accordé par le biais d’un acte administratif ou d’un arrangement contractuel conformément au droit de l’Union ou au droit national applicable, dans le respect des principes de transparence, d’égalité de traitement et de non-discrimination.

4. La durée du droit d’exclusivité pour la réutilisation des données ne dépasse pas douze mois. Lorsqu’un contrat est conclu, la durée du contrat est la même que la durée du droit d’exclusivité.

5. L’octroi d’un droit d’exclusivité en vertu des paragraphes 2, 3 et 4, notamment les raisons justifiant la nécessité d’accorder un tel droit, est transparent et est rendu public en ligne, sous une forme qui respecte les dispositions pertinentes du droit de l’Union en matière de marchés publics.

6. Les accords ou autres pratiques tombant sous le coup de l’interdiction visée au paragraphe 1 qui ne remplissent pas les conditions prévues aux paragraphes 2 et 3, et qui ont été respectivement conclus ou convenues avant le 23 juin 2022 prennent fin au terme du contrat applicable et, en tout état de cause, au plus tard le 24 décembre 2024.

Article 5

Conditions applicables à la réutilisation

1. Les organismes du secteur public qui sont compétents en vertu du droit national pour octroyer ou refuser l’ accès aux fins de la réutilisation d’une ou de plusieurs des catégories de données visées à l’article 3, paragraphe 1, rendent publiques les conditions d’ autorisation de cette réutilisation et la procédure de demande de réutilisation par l’intermédiaire du point d’information unique visé à l’article 8. Lorsqu’ils octroient ou refusent l’ accès à des fins de réutilisation, ils peuvent être assistés par les organismes compétents visés à l’article 7, paragraphe 1.

Les États membres veillent à ce que les organismes du secteur public soient dotés des ressources nécessaires pour se conformer au présent article.

2. Les conditions applicables à la réutilisation sont non discriminatoires, transparentes, proportionnées et objectivement justifiées en ce qui concerne les catégories de données et les finalités de la réutilisation, ainsi que la nature des données pour lesquelles la réutilisation est autorisée. Ces conditions ne sont pas utilisées pour restreindre la concurrence.

3. Les organismes du secteur public veillent à ce que, conformément au droit de l’Union et au droit national, le caractère protégé des données soit préservé. Ils peuvent prévoir les exigences suivantes:

l’ accès aux données à des fins de réutilisation n’est octroyé que lorsque l’ organisme_du_secteur_public ou l’organisme compétent, à la suite d’une demande de réutilisation, a fait en sorte que les données:

i)	aient été anonymisées dans le cas des données à caractère personnel; et

ii)	aient été modifiées, agrégées ou traitées selon toute autre méthode de contrôle de la divulgation dans le cas des informations commerciales confidentielles, y compris des secrets d’affaires et des contenus protégés par des droits de propriété intellectuelle;

b)	l’ accès aux données et leur réutilisation se font à distance dans un environnement de traitement sécurisé qui est fourni ou contrôlé par l’ organisme_du_secteur_public;

c)	l’ accès aux données et leur réutilisation se font dans les locaux où se trouve l’environnement de traitement sécurisé, dans le respect de normes de sécurité élevées, à condition que l’ accès à distance ne puisse être autorisé sans qu’il soit porté atteinte aux droits et aux intérêts des tiers.

4. Lorsque la réutilisation est autorisée conformément au paragraphe 3, points b) et c), les organismes du secteur public imposent des conditions qui préservent l’intégrité du fonctionnement des systèmes techniques de l’environnement de traitement sécurisé utilisé. L’ organisme_du_secteur_public se réserve le droit de vérifier le processus, les moyens et tout résultat du traitement de données effectué par le réutilisateur afin de préserver l’intégrité de la protection des données et se réserve le droit d’interdire l’utilisation des résultats qui contiennent des informations portant atteinte aux droits et aux intérêts de tiers. La décision d’interdire l’utilisation des résultats est transparente et compréhensible par le réutilisateur.

5. Sauf si le droit national prévoit des garanties spécifiques concernant les obligations de confidentialité applicables en cas de réutilisation des données visées à l’article 3, paragraphe 1, l’ organisme_du_secteur_public subordonne la réutilisation des données fournies conformément au paragraphe 3 du présent article au respect par le réutilisateur d’une obligation de confidentialité interdisant la divulgation de toute information compromettant les droits et intérêts de tiers que le réutilisateur peut avoir acquis malgré les garanties mises en place. Il est interdit aux réutilisateurs de rétablir l’identité de toute personne_concernée à laquelle se rapportent les données et ils prennent des mesures techniques et opérationnelles pour empêcher toute réidentification et notifier à l’ organisme_du_secteur_public toute violation de données ayant pour effet de réidentifier les personnes concernées. En cas de réutilisation non autorisée de données à caractère non personnel, le réutilisateur informe sans retard, au besoin avec l’aide de l’ organisme_du_secteur_public, les personnes morales dont les droits et intérêts peuvent être affectés.

6. Lorsqu’il est impossible d’autoriser la réutilisation des données en respectant les obligations prévues aux paragraphes 3 et 4 du présent article et qu’il n’existe pas de base juridique pour la transmission des données au titre du règlement (UE) 2016/679, l’ organisme_du_secteur_public met tout en œuvre, conformément au droit de l’Union et au droit national, pour aider les réutilisateurs potentiels à demander le consentement des personnes concernées ou l’ autorisation des détenteurs de données dont les droits et intérêts peuvent être affectés par cette réutilisation, lorsque cela est faisable sans charge disproportionnée pour l’ organisme_du_secteur_public. Lorsqu’il fournit cette aide, l’ organisme_du_secteur_public peut être assisté par les organismes compétents visés à l’article 7, paragraphe 1.

7. La réutilisation des données n’est autorisée que dans le respect des droits de propriété intellectuelle. Les organismes du secteur public n’exercent pas le droit du fabricant d’une base de données prévu à l’article 7, paragraphe 1, de la directive 96/9/CE en vue d’empêcher la réutilisation de données ou de limiter celle-ci au-delà des limites fixées par le présent règlement.

8. Lorsque les données demandées sont considérées comme confidentielles, conformément au droit de l’Union ou au droit national en matière de confidentialité commerciale ou de secret statistique, les organismes du secteur public veillent à ce que les données confidentielles ne soient pas divulguées du fait de l’ autorisation à des fins de réutilisation, à moins que cette réutilisation ne soit autorisée conformément au paragraphe 6.

9. Lorsqu’un réutilisateur a l’intention de transférer à un pays tiers des données à caractère non personnel protégées pour les motifs énoncés à l’article 3, paragraphe 1, il informe l’ organisme_du_secteur_public de son intention de transférer ces données ainsi que de la finalité de ce transfert au moment de demander la réutilisation desdites données. En cas de réutilisation conformément au paragraphe 6 du présent article, le réutilisateur informe, au besoin avec l’aide de l’ organisme_du_secteur_public, la personne morale dont les droits et intérêts peuvent être affectés de cette intention, de la finalité et des garanties appropriées. L’ organisme_du_secteur_public n’autorise pas la réutilisation à moins que la personne morale n’autorise le transfert.

10. Les organismes du secteur public ne transmettent des données confidentielles à caractère non personnel ou des données protégées par des droits de propriété intellectuelle à un réutilisateur qui a l’intention de transférer lesdites données vers un pays tiers autre qu’un pays désigné conformément au paragraphe 12 que si le réutilisateur s’engage contractuellement à:

a)	respecter les obligations imposées conformément aux paragraphes 7 et 8, même après le transfert des données vers le pays tiers; et

b)	admettre la compétence des juridictions de l’État membre de l’ organisme_du_secteur_public qui transmet les données en ce qui concerne tout litige lié au respect des paragraphes 7 et 8.

11. Les organismes du secteur public, s’il y a lieu et dans la mesure de leurs capacités, fournissent des conseils et une assistance aux réutilisateurs pour ce qui est de respecter les obligations visées au paragraphe 10 du présent article.

Afin d’aider les organismes du secteur public et les réutilisateurs, la Commission peut adopter des actes d’exécution établissant des clauses contractuelles types pour le respect des obligations visées au paragraphe 10 du présent article. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 33, paragraphe 3.

12. Lorsque cela est justifié en raison du nombre important de demandes dans l’ensemble de l’Union concernant la réutilisation de données à caractère non personnel dans des pays tiers déterminés, la Commission peut adopter des actes d’exécution déclarant que le cadre juridique et le dispositif de surveillance et d’exécution d’un pays tiers:

a)	assurent la protection de la propriété intellectuelle et des secrets d’affaires d’une manière qui est essentiellement équivalente à la protection assurée par le droit de l’Union;

b)	sont effectivement appliqués et leur application est contrôlée; et

c)	prévoient un recours juridictionnel effectif.

Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 33, paragraphe 3.

13. Des actes législatifs spécifiques de l’Union peuvent considérer que certaines catégories de données à caractère non personnel détenues par des organismes du secteur public sont hautement sensibles aux fins du présent article, lorsque leur transfert vers des pays tiers peut mettre en péril des objectifs de politique publique de l’Union, tels que la sécurité et la santé publique, ou peut entraîner un risque de réidentification de données anonymisées à caractère non personnel. Lorsqu’un tel acte est adopté, la Commission adopte des actes délégués conformément à l’article 32 afin de compléter le présent règlement en fixant des conditions particulières applicables aux transferts de telles données vers des pays tiers.

Ces conditions particulières sont fondées sur la nature des catégories de données à caractère non personnel identifiées dans l’acte législatif spécifique de l’Union et sur les motifs conduisant à considérer ces catégories comme hautement sensibles, en tenant compte des risques de réidentification de données anonymisées à caractère non personnel. Elles sont non discriminatoires et limitées à ce qui est nécessaire pour atteindre les objectifs de politique publique de l’Union définis dans ledit acte, conformément aux obligations internationales de l’Union.

Lorsque les actes législatifs spécifiques de l’Union visés au premier alinéa l’exigent, de telles conditions particulières peuvent notamment comprendre des conditions applicables au transfert ou des arrangements techniques à cet égard, des limitations en ce qui concerne la réutilisation de données dans des pays tiers ou les catégories de personnes habilitées à transférer ces données vers des pays tiers ou, dans des cas exceptionnels, des restrictions en ce qui concerne les transferts vers des pays tiers.

14. La personne physique ou morale à laquelle le droit de réutiliser des données à caractère non personnel a été accordé ne peut transférer ces données que vers les pays tiers pour lesquels il est satisfait aux exigences énoncées aux paragraphes 10, 12 et 13.

Article 6

Redevances

1. Les organismes du secteur public qui autorisent la réutilisation des catégories de données visées à l’article 3, paragraphe 1, peuvent percevoir des redevances pour autoriser la réutilisation de ces données.

2. Les redevances perçues en vertu du paragraphe 1 sont transparentes, non discriminatoires, proportionnées et objectivement justifiées et ne restreignent pas la concurrence.

3. Les organismes du secteur public font en sorte que les redevances puissent aussi être acquittées en ligne au moyen de services de paiement transfrontaliers largement disponibles, sans discrimination fondée sur le lieu d’établissement du prestataire de services de paiement, le lieu d’émission de l’instrument de paiement ou la localisation du compte de paiement dans l’Union.

4. Lorsque les organismes du secteur public perçoivent des redevances, ils prennent des mesures pour inciter à la réutilisation des catégories de données visées à l’article 3, paragraphe 1, à des fins non commerciales, par exemple à des fins de recherche scientifique, ainsi que par les PME et les jeunes pousses conformément aux règles en matière d’aides d’État. À cet égard, les organismes du secteur public peuvent également mettre ces données à disposition moyennant une redevance réduite ou à titre gratuit, notamment pour les PME, les jeunes pousses, les organisations de la société civile et les établissements d’enseignement. À cette fin, les organismes du secteur public peuvent établir une liste des catégories de réutilisateurs pour lesquelles les données à des fins de réutilisation sont mises à disposition moyennant une redevance réduite ou à titre gratuit. Cette liste, ainsi que les critères utilisés pour l’établir, sont rendus publics.

5. Les redevances sont calculées sur la base des coûts liés à la conduite de la procédure de demande de réutilisation des catégories de données visées à l’article 3, paragraphe 1, et limitées aux coûts nécessaires relatifs:

a)	à la reproduction, à la fourniture et à la diffusion des données;

b)	à l’acquisition des droits;

c)	à l’anonymisation ou à d’autres formes de préparation des données à caractère personnel et des données commerciales confidentielles conformément à l’article 5, paragraphe 3;

d)	à la maintenance de l’environnement de traitement sécurisé;

e)	à l’acquisition du droit d’autoriser la réutilisation conformément au présent chapitre par des tiers extérieurs au secteur public; et

f)	à l’assistance fournie aux réutilisateurs pour obtenir le consentement des personnes concernées et l’ autorisation des détenteurs de données dont les droits et intérêts peuvent être affectés par cette réutilisation.

6. Les critères et la méthode de calcul des redevances sont arrêtés par les États membres et publiés. L’ organisme_du_secteur_public publie une description des principales catégories de coûts et des règles utilisées pour la répartition des coûts.

Article 7

Organismes compétents

1. En vue d’effectuer les tâches visées au présent article, chaque État membre désigne un ou plusieurs organismes compétents, qui peuvent être compétents pour un secteur particulier, pour aider les organismes du secteur public qui octroient ou refusent l’ accès aux fins de la réutilisation des catégories de données visées à l’article 3, paragraphe 1. Les États membres peuvent soit établir un ou plusieurs nouveaux organismes compétents, soit s’appuyer sur des organismes du secteur public ou sur des services internes d’organismes du secteur public existants qui remplissent les conditions fixées par le présent règlement.

2. Les organismes compétents peuvent également être habilités à octroyer l’ accès aux fins de la réutilisation des catégories de données visées à l’article 3, paragraphe 1, en application des dispositions du droit de l’Union ou du droit national qui prévoient l’octroi d’un tel accès. Lorsqu’ils octroient ou refusent l’ accès à des fins de réutilisation, les articles 4, 5, 6 et 9 s’appliquent à ces organismes compétents.

3. Les organismes compétents disposent des ressources juridiques, financières, techniques et humaines suffisantes pour mener à bien les tâches qui leur sont assignées, y compris des connaissances techniques nécessaires pour être en mesure de respecter le droit de l’Union ou le droit national applicable en ce qui concerne les régimes d’ accès pour les catégories de données visées à l’article 3, paragraphe 1.

4. L’assistance prévue au paragraphe 1 consiste notamment, le cas échéant:

a)	à fournir une assistance technique en mettant à disposition un environnement de traitement sécurisé pour donner accès à la réutilisation de données;

b)	à fournir des orientations et une assistance technique sur la meilleure manière de structurer et de stocker les données pour les rendre facilement accessibles;

à fournir un soutien technique pour la pseudonymisation et à garantir le traitement des données d’une manière qui préserve efficacement le caractère privé, la confidentialité, l’intégrité et l’accessibilité des informations contenues dans les données pour lesquelles la réutilisation est autorisée, notamment les techniques d’anonymisation, de généralisation, de suppression et de randomisation des données à caractère personnel ou d’autres méthodes de préservation de la vie privée à la pointe de la technologie, et la suppression des informations commerciales confidentielles, y compris les secrets d’affaires ou les contenus protégés par des droits de propriété intellectuelle;

à aider les organismes du secteur public, le cas échéant, à fournir une assistance aux réutilisateurs pour demander le consentement des personnes concernées à la réutilisation ou l’ autorisation des détenteurs de données conformément à leurs décisions spécifiques, y compris en ce qui concerne le territoire où le traitement des données est prévu et à aider les organismes du secteur public à mettre en place des mécanismes techniques permettant la transmission des demandes de consentement ou d’ autorisation des réutilisateurs, lorsque cela est réalisable en pratique;

e)	à fournir aux organismes du secteur public une assistance lorsqu’il s’agit d’évaluer l’adéquation des engagements contractuels pris par un réutilisateur en vertu de l’article 5, paragraphe 10.

5. Chaque État membre notifie à la Commission l’identité des organismes compétents désignés en application du paragraphe 1 au plus tard le 24 septembre 2023. Chaque État membre notifie également à la Commission toute modification ultérieure concernant l’identité de ces organismes compétents.

Article 8

Points d’information unique

1. Les États membres veillent à ce que toutes les informations pertinentes concernant l’application des articles 5 et 6 soient disponibles et facilement accessibles par l’intermédiaire d’un point d’information unique. Les États membres établissent un nouvel organisme ou désignent un organisme existant ou une structure existante en tant que point d’information unique. Le point d’information unique peut être lié à des points d’information sectoriels, régionaux ou locaux. Les fonctions du point d’information unique peuvent être automatisées, à condition que l’ organisme_du_secteur_public apporte un soutien adéquat.

2. Le point d’information unique est compétent pour recevoir les demandes d’information ou demandes de réutilisation des catégories de données visées à l’article 3, paragraphe 1, et les transmettre, par des moyens automatisés lorsque cela est possible et opportun, aux organismes du secteur public compétents, ou aux organismes compétents visés à l’article 7, paragraphe 1, le cas échéant. Le point d’information unique met à disposition par voie électronique une liste de ressources consultable contenant un aperçu de toutes les ressources en données disponibles, y compris, le cas échéant, les ressources en données qui sont disponibles au niveau des points d’information sectoriels, régionaux ou locaux, avec des informations pertinentes décrivant les données disponibles, y compris au minimum le format et la taille des données ainsi que les conditions applicables à leur réutilisation.

3. Le point d’information unique peut établir un canal d’information distinct, simplifié et bien documenté pour les PME et les jeunes pousses, afin de répondre à leurs besoins et à leurs capacités en matière de demande de réutilisation des catégories de données visées à l’article 3, paragraphe 1.

4. La Commission établit un point d’ accès unique européen mettant à disposition un registre électronique consultable des données disponibles au niveau des points d’information uniques nationaux ainsi que d’autres informations sur la manière de demander des données par l’intermédiaire de ces points d’information uniques nationaux.

Article 9

Procédure relative aux demandes de réutilisation

1. Sauf si des délais plus courts ont été fixés conformément au droit national, les organismes du secteur public compétents ou les organismes compétents visés à l’article 7, paragraphe 1, adoptent une décision sur la demande de réutilisation des catégories de données visées à l’article 3, paragraphe 1, dans un délai de deux mois à compter de la date de réception de la demande.

En cas de demandes de réutilisation exceptionnellement détaillées et complexes, ce délai de deux mois peut être prolongé de trente jours au maximum. En pareils cas, les organismes du secteur public compétents ou les organismes compétents visés à l’article 7, paragraphe 1, informent le demandeur dès que possible de la nécessité d’un délai supplémentaire pour conduire la procédure, ainsi que des raisons qui justifient le retard.

2. Toute personne physique ou morale directement affectée par une décision visée au paragraphe 1 dispose d’un droit de recours effectif dans l’État membre dans lequel est situé ledit organisme. Un tel droit de recours est fixé par le droit national et inclut la possibilité d’un réexamen par un organisme impartial doté des compétences appropriées, telle que l’autorité nationale de la concurrence, l’autorité pertinente d’ accès aux documents, l’autorité de contrôle établie conformément au règlement (UE) 2016/679 ou une autorité judiciaire nationale, dont les décisions sont contraignantes pour l’ organisme_du_secteur_public concerné ou l’organisme compétent concerné.

CHAPITRE III

Exigences applicables aux services d’intermédiation de données

Article 10

Services d’intermédiation de données

La fourniture des services d’intermédiation de données suivants respecte l’article 12 et est soumise à une procédure de notification:

les services d’intermédiation entre les détenteurs de données et les utilisateurs de données potentiels, y compris la mise à disposition des moyens techniques ou autres nécessaires pour permettre la fourniture desdits services; ces services peuvent comprendre des échanges bilatéraux ou multilatéraux de données ou la création de plateformes ou de bases de données permettant l’échange ou l’utilisation conjointe de données, ainsi que la mise en place d’une autre infrastructure spécifique pour l’interconnexion des détenteurs de données avec les utilisateurs de données;

les services d’intermédiation entre, d’une part, les personnes concernées qui cherchent à mettre à disposition leurs données à caractère personnel ou des personnes physiques qui cherchent à mettre à disposition des données à caractère non personnel et, d’autre part, les utilisateurs de données potentiels, y compris la mise à disposition des moyens techniques ou autres nécessaires pour permettre la fourniture desdits services, et notamment pour permettre l’exercice des droits des personnes concernées prévus par le règlement (UE) 2016/679;

c)	les services de coopératives de données.

Article 11

Notification par des prestataires de services d’intermédiation de données

1. Tout prestataire de services d’intermédiation de données qui a l’intention de fournir les services d’intermédiation de données visés à l’article 10 soumet une notification à l’autorité compétente en matière de services d’intermédiation de données.

2. Aux fins du présent règlement, un prestataire de services d’intermédiation de données qui a des établissements dans plusieurs États membres est considéré comme relevant de la compétence de l’État membre dans lequel il a son établissement_principal, sans préjudice du droit de l’Union réglementant les actions transfrontalières en dommages et intérêts et les procédures connexes.

3. Un prestataire de services d’intermédiation de données qui n’est pas établi dans l’Union mais qui propose les services d’intermédiation de données visés à l’article 10 dans l’Union désigne un représentant_légal dans l’un des États membres où il propose lesdits services.

Afin de garantir le respect du présent règlement, le représentant_légal est mandaté par le prestataire de services d’intermédiation de données pour être contacté, en plus dudit prestataire ou à sa place, par les autorités compétentes pour les services d’intermédiation de données ou les personnes concernées et les détenteurs de données, sur toutes les questions liées aux services d’intermédiation de données fournis. Le représentant_légal coopère avec les autorités compétentes pour les services d’intermédiation de données et leur démontre de manière exhaustive, sur demande, les mesures prises et les dispositions mises en place par le prestataire de services d’intermédiation de données pour garantir le respect du présent règlement.

Le prestataire de services d’intermédiation de données est considéré comme relevant de la compétence de l’État membre dans lequel se trouve le représentant_légal. La désignation d’un représentant_légal par le prestataire de services d’intermédiation de données est sans préjudice d’actions en justice qui pourraient être intentées contre le prestataire de services d’intermédiation de données.

4. Après avoir soumis une notification conformément au paragraphe 1, le prestataire de services d’intermédiation de données peut commencer l’activité sous réserve des conditions énoncées au présent chapitre.

5. La notification visée au paragraphe 1 donne au prestataire de services d’intermédiation de données le droit de fournir des services d’intermédiation de données dans tous les États membres.

6. La notification visée au paragraphe 1 comporte les renseignements suivants:

a)	le nom du prestataire de services d’intermédiation de données;

le statut juridique, la forme, la structure de propriété et les filiales pertinentes du prestataire de services d’intermédiation de données ainsi que, lorsque le prestataire de services d’intermédiation de données est enregistré dans un registre de commerce ou dans un autre registre public national similaire, son numéro d’enregistrement;

c)	l’adresse de l’éventuel établissement_principal du prestataire de services d’intermédiation de données dans l’Union et, le cas échéant, de toute succursale dans un autre État membre, ou l’adresse du représentant_légal;

d)	un site internet public contenant des informations complètes et à jour sur le prestataire de services d’intermédiation de données et ses activités, y compris au minimum les renseignements visés aux points a), b), c) et f);

e)	les personnes de contact et les coor données du prestataire de services d’intermédiation de données;

f)	une description du service d’intermédiation de données que le prestataire de services d’intermédiation de données a l’intention de fournir, ainsi qu’une indication des catégories énumérées à l’article 10 dont relève ce service d’intermédiation de données;

g)	une estimation de la date de lancement de l’activité, si celle-ci est différente de la date de la notification.

7. L’autorité compétente en matière de services d’intermédiation de données veille à ce que la procédure de notification soit non discriminatoire et ne fausse pas la concurrence.

8. À la demande du prestataire de services d’intermédiation de données, l’autorité compétente en matière de services d’intermédiation de données délivre, dans un délai d’une semaine à partir du moment où la notification est dûment et entièrement complétée, une déclaration standardisée confirmant que le prestataire de services d’intermédiation de données a soumis la notification visée au paragraphe 4 et que cette notification contient les informations visées au paragraphe 6.

9. À la demande du prestataire de services d’intermédiation de données, l’autorité compétente en matière de services d’intermédiation de données confirme que le prestataire de services d’intermédiation de données respecte le présent article et l’article 12. Dès réception de cette confirmation, ledit prestataire de services d’intermédiation de données peut utiliser le label «prestataire de services d’intermédiation de données reconnu dans l’Union» dans ses communications écrites et orales, ainsi qu’un logo commun.

Afin de garantir que les prestataires de services d’intermédiation de données reconnus dans l’Union sont facilement identifiables dans toute l’Union, la Commission conçoit le logo commun par la voie d’actes d’exécution. Les prestataires de services d’intermédiation de données reconnus dans l’Union affichent clairement le logo commun sur chaque publication en ligne et hors ligne qui se rapporte à leurs activités d’intermédiation de données.

Ces actes d’exécution sont adoptés en conformité avec la procédure consultative visée à l’article 33, paragraphe 2.

10. L’autorité compétente en matière de services d’intermédiation de données notifie à la Commission, sans retard et par voie électronique, toute nouvelle notification. La Commission tient et met régulièrement à jour un registre public de tous les prestataires de services d’intermédiation de données proposant leurs services dans l’Union. Les informations visées au paragraphe 6, points a), b), c), d), f) et g), sont publiées dans le registre public.

11. L’autorité compétente en matière de services d’intermédiation de données peut percevoir des redevances pour la notification conformément au droit national. Ces redevances sont proportionnées et objectives et sont fondées sur les coûts administratifs liés au contrôle du respect des dispositions et aux autres activités de contrôle du marché menées par les autorités compétentes en matière de services d’intermédiation de données en rapport avec les notifications des prestataires de services d’intermédiation de données. Dans le cas des PME et des jeunes pousses, l’autorité compétente en matière de services d’intermédiation de données peut percevoir une redevance réduite ou renoncer à la redevance.

12. Les prestataires de services d’intermédiation de données notifient à l’autorité compétente en matière de services d’intermédiation de données toute modification des renseignements communiqués en vertu du paragraphe 6 dans un délai de quatorze jours à compter de la date de la modification.

13. Lorsqu’un prestataire de services d’intermédiation de données cesse ses activités, il le notifie dans un délai de quinze jours à l’autorité compétente en matière de services d’intermédiation de données concernée, déterminée conformément aux paragraphes 1, 2 et 3.

14. L’autorité compétente en matière de services d’intermédiation de données notifie à la Commission, sans retard et par voie électronique, chaque notification visée aux paragraphes 12 et 13. La Commission met à jour en conséquence le registre public des prestataires de services d’intermédiation de données dans l’Union.

Article 12

Conditions liées à la fourniture de services d’intermédiation de données

La fourniture de services d’intermédiation de données visés à l’article 10 est soumise aux conditions suivantes:

le prestataire de services d’intermédiation de données ne peut pas utiliser les données pour lesquelles il fournit des services d’intermédiation de données à des fins autres que leur mise à disposition des utilisateurs de données, et il fournit les services d’intermédiation de données par l’intermédiaire d’une personne morale distincte;

les modalités commerciales, y compris la tarification, de la fourniture de services d’intermédiation de données à un détenteur de données ou à un utilisateur de données ne doivent pas être subor données au fait que le détenteur de données ou l’utilisateur de données utilise ou non d’autres services fournis par le même prestataire de services d’intermédiation de données ou par une entité liée, et dans l’affirmative, à la mesure dans laquelle le détenteur de données ou l’utilisateur de données utilise ces autres services;

les données collectées en ce qui concerne toute activité d’une personne physique ou morale aux fins de la fourniture d’un service d’intermédiation de données, notamment la date, l’heure et les données de géolocalisation, la durée de l’activité et les connexions établies avec d’autres personnes physiques ou morales par la personne qui utilise le service d’intermédiation de données ne doivent être utilisées que pour le développement dudit service d’intermédiation de données, ce qui peut impliquer l’utilisation de données pour la détection de fraudes ou pour la cybersécurité, et sont mises à la disposition des détenteurs de données sur demande;

le prestataire de services d’intermédiation de données facilite l’échange des données au format dans lequel il les reçoit d’une personne_concernée ou d’un détenteur des données, ne convertit les données dans des formats spécifiques que pour améliorer l’interopérabilité intrasectorielle et transsectorielle, ou si l’utilisateur de données le demande, ou lorsque le droit de l’Union le requiert, ou pour assurer l’harmonisation avec des normes internationales ou européennes en matière de données, et donne aux personnes concernées ou aux détenteurs de données une possibilité de non-participation en ce qui concerne ces conversions, à moins que la conversion ne soit requise par le droit de l’Union;

les services d’intermédiation de données peuvent prévoir de fournir aux détenteurs de données ou aux personnes concernées des instruments et services spécifiques supplémentaires dans le but particulier de faciliter l’échange de données, tels que le stockage temporaire, l’organisation, la conversion, l’anonymisation et la pseudonymisation, ces instruments étant uniquement utilisés à la demande expresse ou moyennant l’approbation expresse du détenteur de données ou de la personne_concernée et les instruments de tiers proposés dans ce contexte nétant pas utilisés à d’autres fins;

le prestataire de services d’intermédiation de données veille à ce que la procédure d’ accès à son service soit équitable, transparente et non discriminatoire à l’égard tant des personnes concernées et des détenteurs de données que des utilisateurs de données, y compris en ce qui concerne les prix et les conditions de service;

g)	le prestataire de services d’intermédiation de données met en place des procédures pour prévenir les pratiques frauduleuses ou abusives en lien avec des parties cherchant à obtenir un accès via ses services d’intermédiation de données;

en cas d’insolvabilité, le prestataire de services d’intermédiation de données assure une continuité raisonnable de la fourniture de ses services d’intermédiation de données et, lorsque ces services d’intermédiation de données assurent le stockage de données, il met en place des mécanismes pour permettre aux détenteurs de données et aux utilisateurs de données d’avoir accès à leurs données, de les transférer ou de les extraire et, lorsque ces services d’intermédiation de données sont fournis entre des personnes concernées et des utilisateurs de données, pour permettre aux personnes concernées d’exercer leurs droits;

le prestataire de services d’intermédiation de données prend les mesures appropriées pour assurer l’interopérabilité avec d’autres services d’intermédiation de données, entre autres au moyen de normes ouvertes communément utilisées dans le secteur dans lequel le prestataire de services d’intermédiation de données exerce ses activités;

le prestataire de services d’intermédiation de données met en place des mesures techniques, juridiques et organisationnelles appropriées afin d’empêcher le transfert de données à caractère non personnel ou l’ accès à celles-ci dans les cas où ils sont illicites au regard du droit de l’Union ou du droit national de l’État membre concerné;

k)	le prestataire de services d’intermédiation de données informe sans retard les détenteurs de données en cas de transfert, d’ accès ou d’utilisation non autorisés portant sur les données à caractère non personnel qu’il a partagées;

le prestataire de services d’intermédiation de données prend les mesures nécessaires pour garantir un niveau de sécurité approprié pour le stockage, le traitement et la transmission de données à caractère non personnel, et le prestataire de services d’intermédiation de données garantit également le niveau de sécurité le plus élevé pour le stockage et la transmission d’informations sensibles sous l’angle de la concurrence;

le prestataire de services d’intermédiation de données proposant des services à des personnes concernées agit au mieux de leurs intérêts lorsqu’il facilite l’exercice de leurs droits, notamment en informant et, le cas échéant, en conseillant les personnes concernées de manière concise, transparente, compréhensible et aisément accessible sur les utilisations prévues des données par les utilisateurs de données et sur les conditions générales applicables à ces utilisations, avant que les personnes concernées ne donnent leur consentement;

lorsqu’un prestataire de services d’intermédiation de données fournit des outils permettant d’obtenir le consentement de personnes concernées ou l’ autorisation de traiter des données mises à disposition par des détenteurs de données, il précise, le cas échéant, la juridiction des pays tiers où l’utilisation des données est prévue et fournit aux personnes concernées des outils permettant à la fois de donner et de retirer leur consentement et aux détenteurs de données des outils permettant à la fois de donner et de retirer l’ autorisation de traiter des données;

o)	le prestataire de services d’intermédiation de données tient un journal de l’activité d’intermédiation de données.

Article 13

Autorités compétentes en matière de services d’intermédiation de données

1. Chaque État membre désigne une ou plusieurs autorités compétentes pour effectuer les tâches liées à la procédure de notification pour les services d’intermédiation de données et notifie à la Commission l’identité de ces autorités compétentes au plus tard le 24 septembre 2023. Chaque État membre notifie également à la Commission toute modification ultérieure de l’identité de ces autorités compétentes.

2. Les autorités compétentes en matière de services d’intermédiation de données respectent les exigences énoncées à l’article 26.

3. Les pouvoirs des autorités compétentes en matière de services d’intermédiation de données sont sans préjudice des pouvoirs des autorités chargées de la protection des données, des autorités nationales de la concurrence, des autorités chargées de la cybersécurité et des autres autorités sectorielles concernées. Dans le respect de leurs compétences respectives au titre du droit de l’Union et du droit national, ces autorités établissent une coopération solide et échangent les informations qui sont nécessaires à l’accomplissement de leurs tâches en rapport avec les prestataires de services d’intermédiation de données, et visent à assurer la cohérence des décisions prises en application du présent règlement.

Article 17

Registres publics d’organisations altruistes en matière de données reconnues

1. Chaque autorité compétente pour l’enregistrement des organisations altruistes en matière de données tient et met à jour régulièrement un registre public national des organisations altruistes en matière de données reconnues.

2. La Commission gère, à des fins d’information, un registre public de l’Union des organisations altruistes en matière de données reconnues. Dès lors qu’une entité est enregistrée dans le registre public national des organisations altruistes en matière de données reconnues conformément à l’article 18, elle peut utiliser le label «organisation altruiste en matière de données reconnue dans l’Union» dans ses communications écrites et orales, ainsi qu’un logo commun.

Afin de garantir que les organisations altruistes en matière de données reconnues soient facilement identifiables dans toute l’Union, la Commission conçoit un logo commun par voie d’actes d’exécution. Les organisations altruistes en matière de données reconnues affichent clairement le logo commun sur chaque publication en ligne et hors ligne qui se rapporte à leurs activités altruistes en matière de données. Le logo commun s’accompagne d’un code QR comportant un lien vers le registre public de l’Union des organisations altruistes en matière de données reconnues.

Ces actes d’exécution sont adoptés en conformité avec la procédure consultative visée à l’article 33, paragraphe 2.

Article 18

Conditions générales d’enregistrement

Pour être admise à l’enregistrement dans un registre public national des organisations altruistes en matière de données reconnues, une entité doit:

a)	mener des activités altruistes en matière de données;

b)	être une personne morale constituée en vertu du droit national pour poursuivre des objectifs d’intérêt général prévus dans le droit national, le cas échéant;

c)	exercer ses activités dans un but non lucratif et être juridiquement indépendante de toute entité exerçant des activités dans un but lucratif;

d)	mener ses activités altruistes en matière de données par l’intermédiaire d’une structure qui, sur le plan fonctionnel, est distincte de ses autres activités;

e)	se conformer au recueil de règles visé à l’article 22, paragraphe 1, au plus tard dix-huit mois après la date d’entrée en vigueur des actes délégués visés audit paragraphe.

Article 19

Enregistrement d’organisations altruistes en matière de données reconnues

1. Une entité qui satisfait aux exigences énoncées à l’article 18 peut présenter une demande d’enregistrement dans le registre public national des organisations altruistes en matière de données reconnues dans l’État membre dans lequel elle est établie.

2. Une entité qui satisfait aux exigences énoncées à l’article 18 et a des établissements dans plusieurs États membres peut présenter une demande d’enregistrement dans le registre public national des organisations altruistes en matière de données reconnues dans l’État membre dans lequel elle a son établissement_principal.

3. Une entité qui satisfait aux exigences énoncées à l’article 18 mais qui n’est pas établie dans l’Union désigne un représentant_légal dans l’un des États membres dans lesquels les services fondés sur l’altruisme en matière de données sont proposés.

Aux fins de garantir le respect du présent règlement, le représentant_légal est mandaté par l’entité pour être contacté, en plus de ladite entité ou à sa place, par les autorités compétentes pour l’enregistrement des organisations altruistes en matière de données ou les personnes concernées et les détenteurs de données, sur toutes les questions liées à ladite entité. Le représentant_légal coopère avec les autorités compétentes pour l’enregistrement des organisations altruistes en matière de données et leur démontre de manière exhaustive, sur demande, les mesures prises et les dispositions mises en place par l’entité pour garantir le respect du présent règlement.

L’entité est considérée comme relevant de la compétence de l’État membre dans lequel se trouve son représentant_légal. Une telle entité peut présenter une demande d’enregistrement dans le registre public national des organisations altruistes en matière de données reconnues dans cet État membre. La désignation d’un représentant_légal par l’entité est sans préjudice d’actions en justice qui pourraient être intentées contre l’entité.

4. Les demandes d’enregistrement visées aux paragraphes 1, 2 et 3 comportent les renseignements suivants:

a)	le nom de l’entité;

b)	le statut juridique et la forme de l’entité ainsi que, lorsque l’entité est enregistrée dans un registre public national, son numéro d’enregistrement;

c)	les statuts de l’entité, le cas échéant;

d)	les sources de revenus de l’entité;

e)	l’adresse de l’éventuel établissement_principal de l’entité dans l’Union et, le cas échéant, de toute succursale dans un autre État membre, ou l’adresse du représentant_légal;

f)	un site internet public contenant des informations complètes et à jour sur l’entité et ses activités, y compris au minimum les renseignements visés aux points a), b), d), e) et h);

g)	les personnes de contact et les coor données de l’entité;

h)	les objectifs d’intérêt général qu’elle entend promouvoir par la collecte de données;

i)	la nature des données que l’entité entend contrôler ou traiter et, dans le cas des données à caractère personnel, une indication des catégories de données à caractère personnel;

j)	tout autre document démontrant qu’il est satisfait aux exigences énoncées à l’article 18.

5. Lorsque l’entité a fourni tous les renseignements nécessaires en vertu du paragraphe 4 et après que l’autorité compétente pour l’enregistrement des organisations altruistes en matière de données a évalué la demande d’enregistrement et établi que l’entité satisfait aux exigences énoncées à l’article 18, ladite autorité enregistre l’entité dans le registre public national des organisations altruistes en matière de données reconnues, dans un délai de douze semaines suivant la date de réception de la demande d’enregistrement. L’enregistrement est valable dans tous les États membres.

L’autorité compétente pour l’enregistrement des organisations altruistes en matière de données notifie tout enregistrement à la Commission. La Commission fait figurer l’enregistrement concerné dans le registre public de l’Union des organisations altruistes en matière de données reconnues.

6. Les renseignements visés au paragraphe 4, points a), b), f), g) et h), sont publiés dans le registre public national des organisations altruistes en matière de données reconnues concerné.

7. L’organisation altruiste en matière de données reconnue notifie à l’autorité compétente pour l’enregistrement des organisations altruistes en matière de données concernée toute modification des renseignements communiqués en vertu du paragraphe 4 dans un délai de quatorze jours à compter de la date de la modification.

L’autorité compétente pour l’enregistrement des organisations altruistes en matière de données notifie à la Commission, sans retard et par voie électronique, chaque notification de ce type. Sur la base d’une telle notification, la Commission met à jour, sans retard, le registre public de l’Union des organisations altruistes en matière de données reconnues.

Article 22

Recueil de règles

1. La Commission adopte des actes délégués conformément à l’article 32 afin de compléter le présent règlement en établissant un recueil de règles fixant:

des exigences appropriées en matière d’information pour veiller à ce que les personnes concernées et les détenteurs de données reçoivent, avant qu’un consentement ou une autorisation ne soit donné pour l’altruisme en matière de données, des informations suffisamment détaillées, claires et transparentes concernant l’utilisation des données, les outils permettant de donner et de retirer le consentement ou l’ autorisation, et les mesures prises pour éviter une mauvaise utilisation des données partagées avec l’organisation altruiste en matière de données;

b)	des exigences techniques et de sécurité appropriées pour garantir un niveau de sécurité approprié pour le stockage et le traitement des données, ainsi que pour les outils permettant de donner et de retirer le consentement ou l’ autorisation;

des feuilles de route en matière de communication adoptant une approche pluridisciplinaire pour sensibiliser à l’altruisme en matière de données, à la désignation en tant que «organisation altruiste en matière de données reconnue dans l’Union» et au recueil de règles les parties prenantes concernées, notamment les détenteurs de données et les personnes concernées pouvant potentiellement partager leurs données;

d)	des recommandations relatives aux normes d’interopérabilité pertinentes.

2. Le recueil de règles visé au paragraphe 1 est élaboré en étroite coopération avec les organisations altruistes en matière de données et les parties prenantes concernées.

Article 23

Autorités compétentes pour l’enregistrement des organisations altruistes en matière de données

1. Chaque État membre désigne une ou plusieurs autorités compétentes responsables de son registre public national des organisations altruistes en matière de données reconnues.

Les autorités compétentes pour l’enregistrement d’organisations altruistes en matière de données respectent les exigences énoncées à l’article 26.

2. Chaque État membre notifie à la Commission l’identité de leurs autorités compétentes pour l’enregistrement des organisations altruistes en matière de données au plus tard le 24 septembre 2023. Chaque État membre notifie également à la Commission toute modification ultérieure de l’identité desdites autorités compétentes.

3. L’autorité compétente pour l’enregistrement des organisations altruistes en matière de données d’un État membre accomplit ses tâches en coopération avec l’autorité chargée de la protection des données concernée, lorsque ces tâches se rapportent au traitement de données à caractère personnel, et avec les autorités sectorielles concernées dudit État membre.

Article 25

Formulaire européen de consentement à l’altruisme en matière de données

1. Afin de faciliter la collecte de données fondée sur l’altruisme en matière de données, la Commission adopte des actes d’exécution établissant et développant un formulaire européen de consentement à l’altruisme en matière de données, après consultation du comité européen de la protection des données, en tenant compte des avis du comité européen de l’innovation dans le domaine des données et en associant dûment les parties prenantes concernées. Le formulaire permet de recueillir le consentement ou l’ autorisation dans tous les États membres selon un format uniforme. Ces actes d’exécution sont adoptés en conformité avec la procédure consultative visée à l’article 33, paragraphe 2.

2. Le formulaire européen de consentement à l’altruisme en matière de données est conçu selon une approche modulaire permettant son adaptation à des secteurs particuliers et à des fins différentes.

3. Lorsque des données à caractère personnel sont communiquées, le formulaire européen de consentement à l’altruisme en matière de données garantit que les personnes concernées sont en mesure de donner et de retirer leur consentement à une opération particulière de traitement de données en conformité avec les exigences du règlement (UE) 2016/679.

4. Le formulaire est disponible de manière à pouvoir être imprimé sur papier tout en étant facile à comprendre, ainsi que sous une forme électronique lisible par machine.

CHAPITRE V

Autorités compétentes et dispositions procédurales

Article 27

Droit d’introduire une réclamation

1. Les personnes physiques et morales ont le droit d’introduire une réclamation concernant toute question relevant du champ d’application du présent règlement, individuellement ou, le cas échéant, collectivement, auprès de l’autorité compétente en matière de services d’intermédiation de données concernée contre un prestataire de services d’intermédiation de données ou auprès de l’autorité compétente pour l’enregistrement des organisations altruistes en matière de données concernée contre une organisation altruiste en matière de données reconnue.

2. L’autorité compétente en matière de services d’intermédiation de données ou l’autorité compétente pour l’enregistrement des organisations altruistes en matière de données auprès de laquelle la réclamation a été introduite informe l’auteur de la réclamation:

a)	de l’état d’avancement de la procédure et de la décision prise; et

b)	des recours juridictionnels prévus à l’article 28.

Article 28

Droit à un recours juridictionnel effectif

1. Nonobstant tout recours administratif ou tout autre recours non juridictionnel, toute personne physique ou morale lésée dispose du droit à un recours juridictionnel effectif en ce qui concerne les décisions juridiquement contraignantes visées à l’article 14 prises par les autorités compétentes en matière de services d’intermédiation de données dans le domaine de la gestion, du contrôle et de la mise en œuvre du régime de notification pour les prestataires de services d’intermédiation de données et les décisions juridiquement contraignantes visées aux articles 19 et 24 prises par les autorités compétentes pour l’enregistrement des organisations altruistes en matière de données dans le domaine du contrôle des organisations altruistes en matière de données reconnues.

2. Les recours formés en vertu du présent article sont portés devant les juridictions de l’État membre de l’autorité compétente en matière de services d’intermédiation de données ou de l’autorité compétente pour l’enregistrement des organisations altruistes en matière de données contre laquelle le recours juridictionnel a été formé individuellement ou, le cas échéant, collectivement par les représentants d’une ou de plusieurs personnes physiques ou morales.

3. Lorsqu’une autorité compétente en matière de services d’intermédiation de données ou une autorité compétente pour l’enregistrement des organisations altruistes en matière de données ne donne pas suite à une réclamation, toute personne physique ou morale lésée a, conformément au droit national, soit le droit à un recours juridictionnel effectif, soit accès à un réexamen réalisé par un organe impartial doté des compétences appropriées.

CHAPITRE VI

Comité européen de l’innovation dans le domaine des données

Article 29

Comité européen de l’innovation dans le domaine des données

1. La Commission institue un comité européen de l’innovation dans le domaine des données sous la forme d’un groupe d’experts, qui se compose de représentants des autorités compétentes en matière de services d’intermédiation de données et des autorités compétentes pour l’enregistrement des organisations altruistes en matière de données de tous les États membres, du comité européen de la protection des données, du Contrôleur européen de la protection des données, de l’ENISA, de la Commission, du représentant de l’UE pour les PME ou d’un représentant désigné par le réseau des représentants des PME, et d’autres représentants d’organismes compétents dans des secteurs particuliers ainsi que d’organismes disposant d’une expertise particulière. Lorsqu’elle nomme des experts individuels, la Commission s’efforce de parvenir à un équilibre entre les hommes et les femmes ainsi qu’à un équilibre géographique parmi les membres du groupe d’experts.

2. Le comité européen de l’innovation dans le domaine des données se compose au moins des trois sous-groupes suivants:

a)	un sous-groupe composé des autorités compétentes en matière de services d’intermédiation de données et des autorités compétentes pour l’enregistrement des organisations altruistes en matière de données en vue de s’acquitter des missions prévues à l’article 30, points a), c), j) et k);

b)	un sous-groupe chargé des discussions techniques sur la normalisation, la portabilité et l’interopérabilité conformément à l’article 30, points f) et g);

un sous-groupe chargé de la participation des parties prenantes, composé de représentants pertinents de l’industrie, de la recherche, des milieux universitaires, de la société civile, des organismes de normalisation, des espaces européens communs de données pertinents et d’autres parties prenantes concernées et de tiers qui conseillent le comité européen de l’innovation dans le domaine des données sur les missions prévues à l’article 30, points d), e), f), g) et h).

3. La Commission préside les réunions du comité européen de l’innovation dans le domaine des données.

4. Le comité européen de l’innovation dans le domaine des données est assisté par un secrétariat assuré par la Commission.

Article 30

Missions du comité européen de l’innovation dans le domaine des données

Le comité européen de l’innovation dans le domaine des données s’acquitte des missions suivantes:

a)	conseiller et assister la Commission en ce qui concerne l’élaboration d’une pratique cohérente des organismes du secteur public et des organismes compétents visés à l’article 7, paragraphe 1, pour la gestion des demandes de réutilisation des catégories de données visées à l’article 3, paragraphe 1;

b)	conseiller et assister la Commission en ce qui concerne l’élaboration d’une pratique cohérente pour l’altruisme en matière de données dans l’ensemble de l’Union;

conseiller et assister la Commission en ce qui concerne l’élaboration d’une pratique cohérente des autorités compétentes en matière de services d’intermédiation de données et des autorités compétentes pour l’enregistrement des organisations altruistes en matière de données quant à l’application des exigences auxquelles sont soumis les prestataires de services d’intermédiation de données et les organisations altruistes en matière de données reconnues;

conseiller et assister la Commission en ce qui concerne l’élaboration de lignes directrices cohérentes sur la meilleure façon de protéger, dans le cadre du présent règlement, les données à caractère non personnel commercialement sensibles, notamment les secrets d’affaires, mais aussi les données à caractère non personnel représentant des contenus protégés par des droits de propriété intellectuelle contre un accès illicite susceptible de conduire à un vol de propriété intellectuelle ou à de l’espionnage industriel;

e)	conseiller et assister la Commission en ce qui concerne l’élaboration de lignes directrices cohérentes relatives aux exigences en matière de cybersécurité pour l’échange et le stockage de données;

conseiller la Commission, notamment en tenant compte de la contribution des organismes de normalisation, sur la hiérarchisation des normes transsectorielles à utiliser et à mettre au point pour l’utilisation de données et le partage de données transsectoriel entre les espaces européens communs de données émergents, la comparaison et l’échange transsectoriels des meilleures pratiques en ce qui concerne les exigences sectorielles de sécurité et les procédures d’ accès, en prenant en considération les activités de normalisation transsectorielle, notamment en précisant et en distinguant les normes et pratiques transsectorielles des normes et pratiques sectorielles;

aider la Commission, notamment en tenant compte de la contribution des organismes de normalisation, à lutter contre la fragmentation du marché intérieur et de l’économie des données au sein du marché intérieur en améliorant l’interopérabilité transfrontalière et transsectorielle des données ainsi que les services de partage de données entre les différents secteurs et domaines, en tirant parti des normes européennes, internationales ou nationales existantes dans le but, entre autres, d’encourager la création d’espaces européens communs de données;

proposer des lignes directrices pour des espaces européens communs de données, à savoir des cadres interopérables pour les différentes finalités ou pour les différents secteurs ou encore transsectoriels de normes et de pratiques communes visant à partager ou à traiter conjointement des données en vue, entre autres, de la mise au point de nouveaux produits et services, de la recherche scientifique ou d’initiatives de la société civile, ces normes et pratiques communes tenant compte des normes existantes, respectant les règles de concurrence et garantissant un accès non discriminatoire à tous les participants, afin de faciliter le partage des données dans l’Union et de tirer parti du potentiel des espaces de données existants et futurs, notamment en ce qui concerne:

les normes transsectorielles à utiliser et à mettre au point pour l’utilisation de données et le partage de données transsectoriel, la comparaison et l’échange transsectoriels des meilleures pratiques en ce qui concerne les exigences sectorielles de sécurité et les procédures d’ accès, en tenant compte des activités de normalisation des différents secteurs, notamment en précisant et en distinguant les normes et pratiques transsectorielles des normes et pratiques sectorielles;

ii)	les exigences visant à lutter contre les obstacles à l’entrée sur le marché et à éviter les effets de verrouillage, afin de garantir une concurrence loyale et l’interopérabilité;

iii)	une protection adéquate des transferts licites de données vers des pays tiers, y compris des garanties contre tout transfert interdit par le droit de l’Union;

iv)	une représentation adéquate et non discriminatoire des parties prenantes concernées dans la gouvernance d’espaces européens communs de données;

v)	le respect des exigences de cybersécurité conformément au droit de l’Union;

i)	faciliter la coopération entre les États membres en ce qui concerne la définition de conditions harmonisées permettant la réutilisation des catégories de données visées à l’article 3, paragraphe 1, détenues par des organismes du secteur public dans l’ensemble du marché intérieur;

faciliter la coopération entre les autorités compétentes en matière de services d’intermédiation de données et les autorités compétentes pour l’enregistrement des organisations altruistes en matière de données par le renforcement des capacités et l’échange d’informations, notamment en établissant des méthodes pour l’échange efficace d’informations relatives, d’une part, à la procédure de notification applicable aux prestataires de services d’intermédiation de données et, d’autre part, à l’enregistrement et au contrôle des organisations altruistes en matière de données reconnues, y compris la coordination en ce qui concerne la fixation de redevances ou de sanctions, ainsi que faciliter la coopération entre les autorités compétentes en matière de services d’intermédiation de données et les autorités compétentes pour l’enregistrement des organisations altruistes en matière de données en ce qui concerne l’ accès international aux données et le transfert international de données;

k)	conseiller et assister la Commission pour ce qui est d’évaluer si les actes d’exécution visés à l’article 5, paragraphes 11 et 12, doivent être adoptés;

l)	conseiller et assister la Commission en ce qui concerne l’élaboration du formulaire européen de consentement à l’altruisme en matière de données conformément à l’article 25, paragraphe 1;

m)	conseiller la Commission en ce qui concerne l’amélioration du cadre réglementaire international des données à caractère non personnel, y compris la normalisation.

CHAPITRE VII

Accès international et transfert international

Article 32

Exercice de la délégation

1. Le pouvoir d’adopter des actes délégués conféré à la Commission est soumis aux conditions fixées au présent article.

2. Le pouvoir d’adopter des actes délégués visé à l’article 5, paragraphe 13, et à l’article 22, paragraphe 1, est conféré à la Commission pour une durée indéterminée à compter du 23 juin 2022.

3. La délégation de pouvoir visée à l’article 5, paragraphe 13, et à l’article 22, paragraphe 1, peut être révoquée à tout moment par le Parlement européen ou le Conseil. La décision de révocation met fin à la délégation de pouvoir qui y est précisée. La révocation prend effet le jour suivant celui de la publication de ladite décision au Journal officiel de l’Union européenne ou à une date ultérieure qui est précisée dans ladite décision. Elle ne porte pas atteinte à la validité des actes délégués déjà en vigueur.

4. Avant l’adoption d’un acte délégué, la Commission consulte les experts désignés par chaque État membre, conformément aux principes définis dans l’accord interinstitutionnel du 13 avril 2016«Mieux légiférer».

5. Aussitôt qu’elle adopte un acte délégué, la Commission le notifie au Parlement européen et au Conseil simultanément.

6. Un acte délégué adopté en vertu de l’article 5, paragraphe 13, et de l’article 22, paragraphe 1, n’entre en vigueur que si le Parlement européen ou le Conseil n’a pas exprimé d’objections dans un délai de trois mois à compter de la notification de cet acte au Parlement européen et au Conseil ou si, avant l’expiration de ce délai, le Parlement européen et le Conseil ont tous deux informé la Commission de leur intention de ne pas exprimer d’objections. Ce délai est prolongé de trois mois à l’initiative du Parlement européen ou du Conseil.

Article 33

Comité

1. La Commission est assistée par un comité. Ledit comité est un comité au sens du règlement (UE) no 182/2011.

2. Lorsqu’il est fait référence au présent paragraphe, l’article 4 du règlement (UE) no 182/2011 s’applique.

3. Lorsqu’il est fait référence au présent paragraphe, l’article 5 du règlement (UE) no 182/2011 s’applique.

CHAPITRE IX

Dispositions finales et transitoires

Article 34

Sanctions

1. Les États membres déterminent le régime des sanctions applicables aux violations des obligations relatives aux transferts de données à caractère non personnel vers des pays tiers en vertu de l’article 5, paragraphe 14, et de l’article 31, de l’obligation de notification incombant aux prestataires de services d’intermédiation de données en vertu de l’article 11, des conditions liées à la fourniture de services d’intermédiation de données en vertu de l’article 12 et des conditions liées à l’enregistrement en tant qu’organisation altruiste en matière de données reconnue en vertu des articles 18, 20, 21 et 22, et prennent toutes les mesures nécessaires pour assurer la mise en œuvre de ces sanctions. Ces sanctions doivent être effectives, proportionnées et dissuasives. Dans leur régime de sanctions, les États membres tiennent compte des recommandations du comité européen de l’innovation dans le domaine des données. Les États membres informent la Commission, au plus tard le 24 septembre 2023, du régime ainsi déterminé et des mesures ainsi prises, de même que, sans retard, de toute modification apportée ultérieurement à ce régime ou à ces mesures.

2. Les États membres prennent en compte les critères indicatifs et non exhaustifs suivants lorsqu’il s’agit d’imposer des sanctions aux prestataires de services d’intermédiation de données et aux organisations altruistes en matière de données reconnues en cas d’infraction au présent règlement, le cas échéant:

a)	la nature, la gravité, l’ampleur et la durée de l’infraction;

b)	toute mesure prise par le prestataire de services d’intermédiation de données ou l’organisation altruiste en matière de données reconnue pour atténuer ou réparer le préjudice causé par l’infraction;

c)	toute infraction antérieure commise par le prestataire de services d’intermédiation de données ou l’organisation altruiste en matière de données reconnue;

d)	les avantages financiers obtenus ou les pertes évitées par le prestataire de services d’intermédiation de données ou l’organisation altruiste en matière de données reconnue en raison de l’infraction, si ces avantages ou pertes peuvent être établis de manière fiable;

e)	toute autre circonstance aggravante ou atténuante applicable au cas concerné.

Article 35

Évaluation et réexamen

Au plus tard le 24 septembre 2025, la Commission procède à une évaluation du présent règlement et présente ses principales conclusions dans un rapport au Parlement européen et au Conseil ainsi qu’au Comité économique et social européen. Ce rapport est au besoin accompagné de propositions législatives.

Ce rapport porte en particulier sur:

a)	l’application et le fonctionnement du régime de sanctions établi par les États membres en vertu de l’article 34;

le niveau de respect du présent règlement par les représentants légaux des prestataires de services d’intermédiation de données et des organisations altruistes en matière de données reconnues qui ne sont pas établis dans l’Union et le niveau d’applicabilité des sanctions imposées à ces prestataires et organisations;

c)	le type d’organisations altruistes en matière de données enregistrées au titre du chapitre IV et un aperçu des objectifs d’intérêt général pour lesquels les données sont partagées en vue d’établir des critères clairs à cet égard.

Les États membres fournissent à la Commission les informations nécessaires à l’établissement de ce rapport.

Article 36

Modification du règlement (UE) 2018/1724

Dans le tableau figurant à l’annexe II du règlement (UE) 2018/1724, la mention «Démarrage et gestion d’une entreprise, et cessation d’activité» est remplacée par le texte suivant:

Événements	Procédures	Résultat escompté, sous réserve d’une évaluation de la demande par l’autorité compétente conformément au droit national, le cas échéant
Démarrage et gestion d’une entreprise, et cessation d’activité	Notification de l’activité économique, autorisation d’exercer une activité économique, modifications de l’activité économique et cessation de l’activité économique sans procédure d’insolvabilité ou de liquidation, à l’exclusion de l’enregistrement initial d’une activité économique au registre du commerce et hors procédures relatives à la constitution de sociétés ou à tout dépôt de pièces ultérieur par des sociétés au sens de l’article 54, deuxième alinéa, du traité sur le fonctionnement de l’Union européenne	Accusé de réception de la notification ou de la modification, ou de la demande d’ autorisation de l’activité économique
	Enregistrement d’un employeur (personne physique) auprès d’un régime obligatoire de pension et d’assurance	Confirmation d’enregistrement ou numéro de sécurité sociale
	Enregistrement de salariés auprès de régimes obligatoires de pension et d’assurance	Confirmation d’enregistrement ou numéro de sécurité sociale
	Soumettre une déclaration d’impôt sur les sociétés	Accusé de réception de la déclaration
	Notification de la fin du contrat de travail d’un salarié au régime de sécurité sociale, à l’exclusion des procédures de licenciement collectif	Accusé de réception de la notification
	Paiement des cotisations sociales pour les salariés	Reçu ou autre mode de confirmation du paiement des cotisations sociales pour les salariés
	Notification d’un prestataire de services d’intermédiation de données	Accusé de réception de la notification
	Enregistrement en tant qu’organisation altruiste en matière de données reconnue dans l’Union	Confirmation de l’enregistrement

Article 37

Dispositions transitoires

Les entités fournissant les services d’intermédiation de données visés à l’article 10 au 23 juin 2022 se conforment aux obligations énoncées au chapitre III au plus tard le 24 septembre 2025.

whereas

keyboard_tab Digital Governance Act 2022/0868 FR

Digital Governance Act 2022/0868 FR