keyboard_tab Digital Governance Act 2022/0868 FR

1.   Les autorités compétentes en matière de services d’intermédiation de données contrôlent et surveillent le respect par les prestataires de services d’intermédiation de données des exigences énoncées dans le présent chapitre. Les autorités compétentes en matière de services d’intermédiation de données peuvent également contrôler et surveiller le respect par les prestataires de services d’intermédiation de données de leurs obligations, sur la base d’une demande présentée par une personne physique ou morale.

2.   Les autorités compétentes en matière de services d’intermédiation de données ont le pouvoir de demander aux prestataires de services d’intermédiation de données ou à leurs représentants légaux toutes les informations nécessaires pour vérifier le respect des exigences énoncées dans le présent chapitre. Toute demande d’information est proportionnée à l’accomplissement de la tâche et est motivée.

3.   Lorsque l’autorité compétente en matière de services d’intermédiation de données constate qu’un prestataire de services d’intermédiation de données ne respecte pas une ou plusieurs des exigences énoncées dans le présent chapitre, elle notifie ces constatations audit prestataire de services d’intermédiation de données et lui donne la possibilité d’exposer son point de vue dans un délai de trente jours à compter de la réception de la notification.

4.   L’autorité compétente en matière de services d’intermédiation de données a le pouvoir d’exiger qu’il soit mis fin à l’infraction visée au paragraphe 3, dans un délai raisonnable, ou immédiatement dans le cas d’une infraction grave, et prend des mesures appropriées et proportionnées visant à garantir le respect des obligations. À cet égard, les autorités compétentes en matière de services d’intermédiation de données ont le pouvoir, le cas échéant:

a)	d’imposer, par le biais de procédures administratives, des sanctions financières dissuasives, pouvant comporter des astreintes et des sanctions avec effet rétroactif, d’engager des procédures judiciaires en vue d’infliger des amendes, ou les deux;

b)	d’exiger un report du début de la fourniture du service d’intermédiation de données ou une suspension de cette fourniture jusqu’à ce que les modifications des conditions demandées par l’autorité compétente en matière de services d’intermédiation de données aient été réalisées; ou

c)	d’exiger la cessation de la fourniture du service d’intermédiation de données dans le cas où il n’a pas été remédié à des infractions graves ou répétées malgré l’envoi d’une notification préalable conformément au paragraphe 3.

L’autorité compétente en matière de services d’intermédiation de données demande à la Commission de radier le prestataire de services d’intermédiation de données du registre des prestataires de services d’intermédiation de données, une fois qu’elle a ordonné la cessation de la fourniture du service d’intermédiation de données conformément au premier alinéa, point c).

Si un prestataire de service d’intermédiation de données remédie aux infractions, ledit prestataire de service d’intermédiation de données adresse une nouvelle notification à l’autorité compétente en matière de services d’intermédiation de données. L’autorité compétente en matière de services d’intermédiation de données notifie à la Commission chaque nouvelle renotification.

5.   Lorsqu’un prestataire de services d’intermédiation de données qui n’est pas établi dans l’Union ne désigne pas de représentant_légal ou que ce représentant_légal, bien que l’autorité compétente en matière de services d’intermédiation de données lui en fasse la demande, ne fournit pas les informations nécessaires prouvant de manière exhaustive le respect du présent règlement, l’autorité compétente en matière de services d’intermédiation de données a le pouvoir de reporter le début de la fourniture du service d’intermédiation de données ou de suspendre cette fourniture jusqu’à ce que le représentant_légal soit désigné ou que les informations nécessaires soient fournies.

6.   Les autorités compétentes en matière de services d’intermédiation de données notifient sans retard au prestataire de services d’intermédiation de données concerné les mesures imposées au titre des paragraphes 4 et 5, leur motivation, ainsi que les mesures dont l’adoption est nécessaire pour corriger les manquements constatés, et fixent au prestataire de services d’intermédiation de données concerné un délai raisonnable, ne dépassant pas trente jours, pour se conformer à ces mesures.

7.   Si un prestataire de services d’intermédiation de données a son établissement_principal ou son représentant_légal dans un État membre mais fournit des services dans d’autres États membres, l’autorité compétente en matière de services d’intermédiation de données de l’État membre où est situé l’ établissement_principal ou dans lequel se trouve le représentant_légal et les autorités compétentes en matière de services d’intermédiation de données de ces autres États membres coopèrent et se prêtent assistance. Cette assistance et cette coopération peuvent porter sur les échanges d’informations entre les autorités compétentes en matière de services d’intermédiation de données concernées aux fins de l’accomplissement de leurs tâches au titre du présent règlement et sur les demandes motivées de prendre les mesures visées au présent article.

Lorsqu’une autorité compétente en matière de services d’intermédiation de données dans un État membre sollicite l’assistance d’une autorité compétente en matière de services d’intermédiation de données d’un autre État membre, elle présente une demande motivée. Lorsqu’elle reçoit une telle demande, l’autorité compétente en matière de services d’intermédiation de données fournit une réponse sans retard et dans des délais proportionnés à l’urgence de la demande.

Toutes les informations échangées dans le cadre de la demande d’assistance et fournies au titre du présent paragraphe ne sont utilisées qu’aux fins pour lesquelles elles ont été demandées.

1.   Une entité qui satisfait aux exigences énoncées à l’article 18 peut présenter une demande d’enregistrement dans le registre public national des organisations altruistes en matière de données reconnues dans l’État membre dans lequel elle est établie.

2.   Une entité qui satisfait aux exigences énoncées à l’article 18 et a des établissements dans plusieurs États membres peut présenter une demande d’enregistrement dans le registre public national des organisations altruistes en matière de données reconnues dans l’État membre dans lequel elle a son établissement_principal.

3.   Une entité qui satisfait aux exigences énoncées à l’article 18 mais qui n’est pas établie dans l’Union désigne un représentant_légal dans l’un des États membres dans lesquels les services fondés sur l’altruisme en matière de données sont proposés.

Aux fins de garantir le respect du présent règlement, le représentant_légal est mandaté par l’entité pour être contacté, en plus de ladite entité ou à sa place, par les autorités compétentes pour l’enregistrement des organisations altruistes en matière de données ou les personnes concernées et les détenteurs de données, sur toutes les questions liées à ladite entité. Le représentant_légal coopère avec les autorités compétentes pour l’enregistrement des organisations altruistes en matière de données et leur démontre de manière exhaustive, sur demande, les mesures prises et les dispositions mises en place par l’entité pour garantir le respect du présent règlement.

L’entité est considérée comme relevant de la compétence de l’État membre dans lequel se trouve son représentant_légal. Une telle entité peut présenter une demande d’enregistrement dans le registre public national des organisations altruistes en matière de données reconnues dans cet État membre. La désignation d’un représentant_légal par l’entité est sans préjudice d’actions en justice qui pourraient être intentées contre l’entité.

4.   Les demandes d’enregistrement visées aux paragraphes 1, 2 et 3 comportent les renseignements suivants:

a)	le nom de l’entité;

b)	le statut juridique et la forme de l’entité ainsi que, lorsque l’entité est enregistrée dans un registre public national, son numéro d’enregistrement;

c)	les statuts de l’entité, le cas échéant;

d)	les sources de revenus de l’entité;

e)	l’adresse de l’éventuel établissement_principal de l’entité dans l’Union et, le cas échéant, de toute succursale dans un autre État membre, ou l’adresse du représentant_légal;

f)	un site internet public contenant des informations complètes et à jour sur l’entité et ses activités, y compris au minimum les renseignements visés aux points a), b), d), e) et h);

g)	les personnes de contact et les coor données de l’entité;

h)	les objectifs d’intérêt général qu’elle entend promouvoir par la collecte de données;

i)	la nature des données que l’entité entend contrôler ou traiter et, dans le cas des données à caractère personnel, une indication des catégories de données à caractère personnel;

j)	tout autre document démontrant qu’il est satisfait aux exigences énoncées à l’article 18.

5.   Lorsque l’entité a fourni tous les renseignements nécessaires en vertu du paragraphe 4 et après que l’autorité compétente pour l’enregistrement des organisations altruistes en matière de données a évalué la demande d’enregistrement et établi que l’entité satisfait aux exigences énoncées à l’article 18, ladite autorité enregistre l’entité dans le registre public national des organisations altruistes en matière de données reconnues, dans un délai de douze semaines suivant la date de réception de la demande d’enregistrement. L’enregistrement est valable dans tous les États membres.

L’autorité compétente pour l’enregistrement des organisations altruistes en matière de données notifie tout enregistrement à la Commission. La Commission fait figurer l’enregistrement concerné dans le registre public de l’Union des organisations altruistes en matière de données reconnues.

6.   Les renseignements visés au paragraphe 4, points a), b), f), g) et h), sont publiés dans le registre public national des organisations altruistes en matière de données reconnues concerné.

7.   L’organisation altruiste en matière de données reconnue notifie à l’autorité compétente pour l’enregistrement des organisations altruistes en matière de données concernée toute modification des renseignements communiqués en vertu du paragraphe 4 dans un délai de quatorze jours à compter de la date de la modification.

L’autorité compétente pour l’enregistrement des organisations altruistes en matière de données notifie à la Commission, sans retard et par voie électronique, chaque notification de ce type. Sur la base d’une telle notification, la Commission met à jour, sans retard, le registre public de l’Union des organisations altruistes en matière de données reconnues.

1.   L’organisation altruiste en matière de données reconnue tient des registres complets et exacts concernant:

a)	toutes les personnes physiques ou morales qui se sont vu offrir la possibilité de traiter des données détenues par cette organisation altruiste en matière de données reconnue, ainsi que leurs coor données;

b)	la date ou la durée du traitement des données à caractère personnel ou de l’utilisation des données à caractère non personnel;

c)	la finalité du traitement, telle qu’elle a été déclarée par la personne physique ou morale qui s’est vu offrir la possibilité d’effectuer ce traitement;

d)	les éventuelles redevances acquittées par les personnes physiques ou morales traitant les données.

2.   L’organisation altruiste en matière de données reconnue établit et transmet à l’autorité compétente pour l’enregistrement des organisations altruistes en matière de données concernée un rapport annuel d’activité qui contient au moins les éléments suivants:

a)	des informations sur les activités de l’organisation altruiste en matière de données reconnue;

b)	une description de la manière dont les objectifs d’intérêt général pour lesquels des données ont été collectées ont été promus pendant l’exercice considéré;

c)

une liste de toutes les personnes physiques et morales qui ont été autorisées à traiter des données qu’elle détient, assortie d’une description sommaire des objectifs d’intérêt général poursuivis par ce traitement de données et de la description des moyens techniques employés en vue de cette utilisation, y compris une description des techniques appliquées pour préserver la vie privée et la protection des données;

d)	une synthèse des résultats du traitement des données autorisé par l’organisation altruiste en matière de données reconnue, s’il y a lieu;

e)	des informations sur les sources de recettes de l’organisation altruiste en matière de données reconnue, en particulier toutes les recettes résultant de l’ autorisation d’ accès aux données, et sur les dépenses.

1.   L’organisation altruiste en matière de données reconnue informe les personnes concernées ou les détenteurs de données préalablement à tout traitement de leurs données d’une manière claire et aisément intelligible:

a)	des objectifs d’intérêt général et, le cas échéant, de la finalité déterminée, explicite et légitime pour laquelle les données à caractère personnel doivent être traitées et pour laquelle elle autorise le traitement de données les concernant par un utilisateur de données;

b)	de la localisation de tout traitement effectué dans un pays tiers et des objectifs d’intérêt général pour lesquels elle autorise ledit traitement, lorsque le traitement est effectué par l’organisation altruiste en matière de données reconnue.

2.   L’organisation altruiste en matière de données reconnue n’utilise pas les données pour des objectifs autres que ceux d’intérêt général pour lesquels la personne_concernée ou le détenteur des données autorise le traitement. L’organisation altruiste en matière de données reconnue ne recourt pas à des pratiques commerciales trompeuses pour solliciter la fourniture de données.

3.   L’organisation altruiste en matière de données reconnue fournit des outils permettant d’obtenir le consentement des personnes concernées ou l’ autorisation de traiter des données mises à disposition par des détenteurs de données. L’organisation altruiste en matière de données reconnue fournit également des outils permettant de retirer facilement ce consentement ou cette autorisation.

4.   L’organisation altruiste en matière de données reconnue prend des mesures pour assurer un niveau de sécurité approprié pour le stockage et le traitement des données à caractère non personnel qu’elle a collectées sur le fondement de l’altruisme en matière de données.

5.   L’organisation altruiste en matière de données reconnue informe, sans retard, les détenteurs de données de tout transfert, de tout accès ou de toute utilisation non autorisés portant sur les données à caractère non personnel qu’elle a partagées.

6.   Lorsque l’organisation altruiste en matière de données reconnue facilite le traitement de données par des tiers, y compris en fournissant des outils permettant d’obtenir le consentement de personnes concernées ou l’ autorisation de traiter des données mises à disposition par des détenteurs de données, elle précise, le cas échéant, la juridiction du pays tiers où l’utilisation des données est prévue.

1.   Les autorités compétentes pour l’enregistrement des organisations altruistes en matière de données contrôlent et surveillent le respect, par les organisations altruistes en matière de données reconnues, des exigences énoncées dans le présent chapitre. L’autorité compétente pour l’enregistrement des organisations altruistes en matière de données peut également contrôler et surveiller le respect par de telles organisations altruistes en matière de données reconnues de leurs obligations sur la base d’une demande présentée par une personne physique ou morale.

2.   Les autorités compétentes pour l’enregistrement des organisations altruistes en matière de données ont le pouvoir de demander aux organisations altruistes en matière de données reconnues les informations qui lui sont nécessaires pour vérifier qu’elles respectent les exigences énoncées dans le présent chapitre. Toute demande d’information est proportionnée à l’accomplissement de la tâche et est motivée.

3.   Lorsque l’autorité compétente pour l’enregistrement des organisations altruistes en matière de données constate qu’une organisation altruiste en matière de données reconnue ne respecte pas une ou plusieurs des exigences énoncées dans le présent chapitre, elle notifie ces constatations à l’organisation altruiste en matière de données reconnue et lui donne la possibilité d’exposer son point de vue dans un délai de trente jours à compter de la réception de la notification.

4.   L’autorité compétente pour l’enregistrement des organisations altruistes en matière de données a le pouvoir d’exiger qu’il soit mis fin à l’infraction visée au paragraphe 3, soit immédiatement soit dans un délai raisonnable, et prend des mesures appropriées et proportionnées pour garantir le respect des dispositions.

5.   Si une organisation altruiste en matière de données reconnue ne respecte pas une ou plusieurs des exigences énoncées dans le présent chapitre même après avoir reçu une notification de l’autorité compétente pour l’enregistrement des organisations altruistes en matière de données conformément au paragraphe 3, ladite organisation altruiste en matière de données reconnue:

a)	perd le droit d’utiliser le label d’«organisation altruiste en matière de données reconnue dans l’Union» dans toute communication écrite et orale;

b)	est radiée du registre public national des organisations altruistes en matière de données reconnues concerné et du registre public de l’Union des organisations altruistes en matière de données reconnues.

Toute décision révoquant le droit d’utiliser le label d’«organisation altruiste en matière de données reconnue dans l’Union» prévue au premier alinéa, point a), est rendue publique par l’autorité compétente pour l’enregistrement des organisations altruistes en matière de données.

6.   Si une organisation altruiste en matière de données reconnue a son établissement_principal ou son représentant_légal dans un État membre mais qu’elle exerce des activités dans d’autres États membres, l’autorité compétente pour l’enregistrement des organisations altruistes en matière de données de l’État membre où est situé l’ établissement_principal ou dans lequel se trouve le représentant_légal et les autorités compétentes pour l’enregistrement des organisations altruistes en matière de données de ces autres États membres coopèrent et se prêtent assistance. Cette assistance et cette coopération peuvent porter sur les échanges d’informations entre les autorités compétentes pour l’enregistrement des organisations altruistes en matière de données concernées aux fins de l’accomplissement de leurs tâches au titre du présent règlement et sur les demandes motivées de prendre les mesures visées au présent article.

Lorsqu’une autorité compétente pour l’enregistrement des organisations altruistes en matière de données dans un État membre sollicite l’assistance d’une autorité compétente pour l’enregistrement des organisations altruistes en matière de données dans un autre État membre, elle présente une demande motivée. L’autorité compétente pour l’enregistrement des organisations altruistes en matière de données veille, à la suite d’une telle demande, à fournir une réponse sans retard et dans des délais proportionnés à l’urgence de la demande.

Toutes les informations échangées dans le cadre de la demande d’assistance et fournies au titre du présent paragraphe ne sont utilisées qu’aux fins pour lesquelles elles ont été demandées.

1.   La Commission institue un comité européen de l’innovation dans le domaine des données sous la forme d’un groupe d’experts, qui se compose de représentants des autorités compétentes en matière de services d’intermédiation de données et des autorités compétentes pour l’enregistrement des organisations altruistes en matière de données de tous les États membres, du comité européen de la protection des données, du Contrôleur européen de la protection des données, de l’ENISA, de la Commission, du représentant de l’UE pour les PME ou d’un représentant désigné par le réseau des représentants des PME, et d’autres représentants d’organismes compétents dans des secteurs particuliers ainsi que d’organismes disposant d’une expertise particulière. Lorsqu’elle nomme des experts individuels, la Commission s’efforce de parvenir à un équilibre entre les hommes et les femmes ainsi qu’à un équilibre géographique parmi les membres du groupe d’experts.

2.   Le comité européen de l’innovation dans le domaine des données se compose au moins des trois sous-groupes suivants:

a)	un sous-groupe composé des autorités compétentes en matière de services d’intermédiation de données et des autorités compétentes pour l’enregistrement des organisations altruistes en matière de données en vue de s’acquitter des missions prévues à l’article 30, points a), c), j) et k);

b)	un sous-groupe chargé des discussions techniques sur la normalisation, la portabilité et l’interopérabilité conformément à l’article 30, points f) et g);

c)

un sous-groupe chargé de la participation des parties prenantes, composé de représentants pertinents de l’industrie, de la recherche, des milieux universitaires, de la société civile, des organismes de normalisation, des espaces européens communs de données pertinents et d’autres parties prenantes concernées et de tiers qui conseillent le comité européen de l’innovation dans le domaine des données sur les missions prévues à l’article 30, points d), e), f), g) et h).

3.   La Commission préside les réunions du comité européen de l’innovation dans le domaine des données.

4.   Le comité européen de l’innovation dans le domaine des données est assisté par un secrétariat assuré par la Commission.

1.   L’ organisme_du_secteur_public, la personne physique ou morale à laquelle le droit de réutilisation des données a été accordé en vertu du chapitre II, le prestataire de services d’intermédiation de données ou l’organisation altruiste en matière de données reconnue prend toutes les mesures techniques, juridiques et organisationnelles raisonnables, y compris des arrangements contractuels, afin d’empêcher le transfert international de données à caractère non personnel détenues dans l’Union ou l’ accès international des pouvoirs publics à celles-ci lorsque ce transfert ou cet accès risque d’être en conflit avec le droit de l’Union ou le droit national de l’État membre concerné, sans préjudice du paragraphe 2 ou 3.

2.   Toute décision d’une juridiction d’un pays tiers et toute décision d’une autorité administrative d’un pays tiers exigeant d’un organisme_du_secteur_public, d’une personne physique ou morale à laquelle le droit de réutilisation des données a été accordé en vertu du chapitre II, d’un prestataire de services d’intermédiation de données ou d’une organisation altruiste en matière de données reconnue qu’il ou elle transfère des données à caractère non personnel détenues dans l’Union ou y donne accès dans le cadre du présent règlement ne peut être reconnue ou rendue exécutoire de quelque manière que ce soit qu’à la condition qu’elle soit fondée sur un accord international, tel qu’un traité d’entraide judiciaire, en vigueur entre le pays tiers demandeur et l’Union ou sur tout accord de ce type entre le pays tiers demandeur et un État membre.

3.   En l’absence d’accord international tel qu’il est visé au paragraphe 2 du présent article, lorsqu’un organisme_du_secteur_public, une personne physique ou morale à laquelle le droit de réutilisation des données a été accordé en vertu du chapitre II, un prestataire de services d’intermédiation de données ou une organisation altruiste en matière de données reconnue est destinataire d’une décision d’une juridiction d’un pays tiers ou d’une décision d’une autorité administrative d’un pays tiers de transférer des données à caractère non personnel détenues dans l’Union ou d’y donner accès dans le cadre du présent règlement, et lorsque le respect d’une telle décision risque de mettre le destinataire en conflit avec le droit de l’Union ou le droit national de l’État membre concerné, le transfert de ces données vers cette autorité d’un pays tiers ou l’ accès à ces données par cette même autorité n’a lieu que si:

a)	le système du pays tiers exige que les motifs et la proportionnalité de cette décision soient exposés et que cette décision revête un caractère spécifique, par exemple en établissant un lien suffisant avec certaines personnes suspectées, ou avec des infractions;

b)	l’objection motivée du destinataire peut faire l’objet d’un réexamen par une juridiction compétente du pays tiers; et

c)

la juridiction compétente du pays tiers qui rend la décision ou réexamine la décision d’une autorité administrative est habilitée, en vertu du droit de ce pays tiers, à prendre dûment en compte les intérêts juridiques pertinents du fournisseur des données protégées par le droit de l’Union ou par le droit national de l’État membre concerné.

4.   Si les conditions prévues par le paragraphe 2 ou 3 sont réunies, l’ organisme_du_secteur_public, la personne physique ou morale à laquelle le droit de réutilisation des données a été accordé en vertu du chapitre II, le prestataire de services d’intermédiation de données ou l’organisation altruiste en matière de données reconnue fournit le volume minimal de données admissible en réponse à une demande, sur la base d’une interprétation raisonnable de la demande.

5.   L’ organisme_du_secteur_public, la personne physique ou morale à laquelle le droit de réutilisation des données a été accordé en vertu du chapitre II, le prestataire de services d’intermédiation de données et l’organisation altruiste en matière de données reconnue informe le détenteur de données de l’existence d’une demande d’ accès à des données le concernant qui émane d’une autorité administrative d’un pays tiers, avant d’y donner suite, sauf lorsque cette demande sert des fins répressives et aussi longtemps que cela est nécessaire pour préserver l’efficacité de l’action répressive.

1.   Le pouvoir d’adopter des actes délégués conféré à la Commission est soumis aux conditions fixées au présent article.

2.   Le pouvoir d’adopter des actes délégués visé à l’article 5, paragraphe 13, et à l’article 22, paragraphe 1, est conféré à la Commission pour une durée indéterminée à compter du 23 juin 2022.

3.   La délégation de pouvoir visée à l’article 5, paragraphe 13, et à l’article 22, paragraphe 1, peut être révoquée à tout moment par le Parlement européen ou le Conseil. La décision de révocation met fin à la délégation de pouvoir qui y est précisée. La révocation prend effet le jour suivant celui de la publication de ladite décision au Journal officiel de l’Union européenne ou à une date ultérieure qui est précisée dans ladite décision. Elle ne porte pas atteinte à la validité des actes délégués déjà en vigueur.

4.   Avant l’adoption d’un acte délégué, la Commission consulte les experts désignés par chaque État membre, conformément aux principes définis dans l’accord interinstitutionnel du 13 avril 2016«Mieux légiférer».

5.   Aussitôt qu’elle adopte un acte délégué, la Commission le notifie au Parlement européen et au Conseil simultanément.

6.   Un acte délégué adopté en vertu de l’article 5, paragraphe 13, et de l’article 22, paragraphe 1, n’entre en vigueur que si le Parlement européen ou le Conseil n’a pas exprimé d’objections dans un délai de trois mois à compter de la notification de cet acte au Parlement européen et au Conseil ou si, avant l’expiration de ce délai, le Parlement européen et le Conseil ont tous deux informé la Commission de leur intention de ne pas exprimer d’objections. Ce délai est prolongé de trois mois à l’initiative du Parlement européen ou du Conseil.