keyboard_tab Digital Governance Act 2022/0868 FR
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Art. 2 Définitions
- 1 Art. 10 Services d’intermédiation de données
- 1 Art. 11 Notification par des prestataires de services d’intermédiation de données
- 1 Art. 19 Enregistrement d’organisations altruistes en matière de données reconnues
- 1 Art. 20 Obligations de transparence
- 1 Art. 29 Comité européen de l’innovation dans le domaine des données
- 1 Art. 34 Sanctions
CHAPITRE I
Dispositions générales
CHAPITRE II
Réutilisation de certaines catégories de données protégées détenues par des organismes du secteur public
CHAPITRE III
Exigences applicables aux services d’intermédiation de données
CHAPITRE IV
Altruisme en matière de données
CHAPITRE V
Autorités compétentes et dispositions procédurales
CHAPITRE VI
Comité européen de l’innovation dans le domaine des données
CHAPITRE VII
Accès international et transfert international
CHAPITRE VIII
Délégation et comité
CHAPITRE IX
Dispositions finales et transitoires
- données
- réutilisation
- données à caractère personnel
- données à caractère non personnel
- consentement
- autorisation
- personne concernée
- détenteur de données
- utilisateur de données
- partage de données
- service d’intermédiation de données
- traitement
- accès
- établissement principal
- services de coopératives de données
- altruisme en matière de données
- organisme du secteur public
- organismes de droit public
- entreprise publique
- environnement de traitement sécurisé
- représentant légal
- données 192
- services 77
- d’intermédiation 69
- dans 64
- matière 47
- pour 39
- prestataire 30
- public 23
- l’article 23
- caractère 23
- personnel 22
- l’union 20
- altruistes 19
- organisations 19
- l’entité 19
- membres 18
- personnes 18
- autorités 16
- notification 16
- compétente 15
- traitement 15
- commission 15
- sont 14
- règlement 14
- droit 14
- registre 13
- toute 13
- l’enregistrement 13
- national 12
- représentant_légal 12
- altruiste 11
- reconnue 11
- d’une 11
- sans 11
- ainsi 11
- États 11
- compétentes 11
- organismes 11
- l’autorité 11
- compris 10
- concernées 10
- présent 10
- demande 9
- fins 9
- européen 9
- prestataires 9
- reconnues 9
- renseignements 8
- comité 8
- entité 8
Article 2
Définitions
Aux fins du présent règlement, on entend par:
| 1) | « données»: toute représentation numérique d’actes, de faits ou d’informations et toute compilation de ces actes, faits ou informations, notamment sous la forme d’enregistrements sonores, visuels ou audiovisuels; |
| 2) | « réutilisation»: l’utilisation, par des personnes physiques ou morales, de données détenues par des organismes du secteur public, à des fins commerciales ou non commerciales autres que l’objectif initial de la mission de service public pour lequel les données ont été produites, à l’exception de l’échange de données entre des organismes du secteur public aux seules fins de l’exercice de leur mission de service public; |
| 3) | « données à caractère personnel»: les données à caractère personnel au sens de l’article 4, point 1), du règlement (UE) 2016/679; |
| 4) | « données à caractère non personnel»: les données autres que les données à caractère personnel; |
| 5) | « consentement»: le consentement au sens de l’article 4, point 11), du règlement (UE) 2016/679; |
| 6) | « autorisation»: le fait d’accorder aux utilisateurs de données le droit au traitement de données à caractère non personnel; |
| 7) | « personne_concernée»: la personne_concernée visée à l’article 4, point 1), du règlement (UE) 2016/679; |
| 8) | «détenteur de données»: une personne morale, y compris des organismes du secteur public et des organisations internationales, ou une personne physique qui n’est pas une personne_concernée pour ce qui est des données spécifiques considérées, qui, conformément au droit de l’Union ou au droit national applicable, a le droit d’octroyer l’ accès à certaines données à caractère personnel ou non personnel; |
| 9) | «utilisateur de données»: une personne physique ou morale qui dispose d’un accès licite à certaines données à caractère personnel ou non personnel et qui a le droit, y compris au titre du règlement (UE) 2016/679 lorsqu’il s’agit de données à caractère personnel, d’utiliser ces données à des fins commerciales ou non commerciales; |
| 10) | «partage de données»: la fourniture de données à un utilisateur de données par une personne_concernée ou un détenteur de données, en vue de l’utilisation conjointe ou individuelle desdites données, sur la base d’accords volontaires ou du droit de l’Union ou du droit national, directement ou via un intermédiaire, par exemple dans le cadre de licences ouvertes ou commerciales, moyennant le paiement d’une redevance ou gratuitement; |
| 11) | «service d’intermédiation de données»: un service qui vise à établir des relations commerciales à des fins de partage de données entre un nombre indéterminé de personnes concernées et de détenteurs de données, d’une part, et d’utilisateurs de données, d’autre part, par des moyens techniques, juridiques ou autres, y compris aux fins de l’exercice des droits des personnes concernées en ce qui concerne les données à caractère personnel, à l’exclusion au minimum de ce qui suit:
|
| 12) | « traitement»: le traitement au sens de l’article 4, point 2), du règlement (UE) 2016/679 en ce qui concerne les données à caractère personnel ou de l’article 3, point 2), du règlement (UE) 2018/1807 en ce qui concerne les données à caractère non personnel; |
| 13) | « accès»: l’utilisation de données conformément à des exigences techniques, juridiques ou organisationnelles particulières, sans que cela implique nécessairement la transmission ou le téléchargement de données; |
| 14) | « établissement_principal»: en ce qui concerne une personne morale, le lieu de son administration centrale dans l’Union; |
| 15) | «services de coopératives de données»: les services d’intermédiation de données proposés par une structure organisationnelle constituée de personnes concernées, d’entreprises unipersonnelles ou de PME qui sont membres de cette structure dont les objectifs principaux consistent à aider ses membres à exercer leurs droits à l’égard de certaines données, y compris quant au fait d’opérer des choix en connaissance de cause avant qu’ils ne consentent au traitement de données, à mener des échanges de vues sur les finalités et les conditions du traitement de données qui représenteraient le mieux les intérêts de ses membres en ce qui concerne leurs données, et à négocier les conditions et modalités du traitement des données au nom de ses membres avant que ceux-ci ne donnent l’ autorisation de traiter des données à caractère non personnel ou ne donnent leur consentement au traitement de données à caractère personnel; |
| 16) | «altruisme en matière de données»: le partage volontaire de données fondé sur le consentement donné par les personnes concernées au traitement de données à caractère personnel les concernant, ou l’ autorisation accordée par des détenteurs de données pour l’utilisation de leurs données à caractère non personnel sans demander ni recevoir de contrepartie qui aille au-delà de la compensation des coûts qu’ils supportent lorsqu’ils mettent à disposition leurs données, pour des objectifs d’intérêt général prévus par le droit national, le cas échéant, par exemple les soins de santé, la lutte contre le changement climatique, l’amélioration de la mobilité, la facilitation du développement, de la production et de la diffusion de statistiques officielles, l’amélioration de la prestation de services publics, l’élaboration des politiques publiques ou la recherche scientifique dans l’intérêt général; |
| 17) | « organisme_du_secteur_public»: l’État, les autorités régionales ou locales, les organismes_de_droit_public ou les associations formées par une ou plusieurs de ces autorités ou un ou plusieurs de ces organismes_de_droit_public; |
| 18) | « organismes_de_droit_public»: les organismes présentant les caractéristiques suivantes:
|
| 19) | « entreprise_publique»: toute entreprise sur laquelle les organismes du secteur public peuvent exercer directement ou indirectement une influence dominante du fait de la propriété de l’entreprise, de la participation financière qu’ils y détiennent ou des règles qui la régissent; aux fins de la présente définition, une influence dominante des organismes du secteur public sur l’entreprise est présumée dans tous les cas suivants lorsque ces organismes, directement ou indirectement:
|
| 20) | «environnement de traitement sécurisé»: l’environnement physique ou virtuel et les moyens organisationnels pour garantir le respect du droit de l’Union, tel que le règlement (UE) 2016/679, en particulier en ce qui concerne les droits des personnes concernées, les droits de propriété intellectuelle, la confidentialité commerciale et le secret statistique, l’intégrité et l’accessibilité, ainsi que le respect du droit national applicable, et pour permettre à l’entité fournissant l’environnement de traitement sécurisé de déterminer et de surveiller toutes les opérations de traitement de données, notamment l’affichage, le stockage, le téléchargement et l’exportation de données et le calcul de données dérivées au moyen d’algorithmes de calcul; |
| 21) | « représentant_légal»: une personne physique ou morale établie dans l’Union, expressément désignée pour agir pour le compte d’un prestataire de services d’intermédiation de données ou d’une entité qui collecte pour des objectifs d’intérêt général des données mises à disposition par des personnes physiques ou morales sur le fondement de l’altruisme en matière de données non établi(e) dans l’Union, qui peut être contactée par les autorités compétentes en matière de services d’intermédiation de données et les autorités compétentes pour l’enregistrement des organisations altruistes en matière de données en plus du prestataire de services d’intermédiation de données ou de l’entité, ou à leur place, en ce qui concerne les obligations prévues dans le présent règlement, y compris en ce qui concerne le lancement d’une procédure d’exécution à l’encontre d’un prestataire de services d’intermédiation de données ou d’une entité non établi(e) dans l’Union qui ne respecte pas ses obligations. |
CHAPITRE II
Réutilisation de certaines catégories de données protégées détenues par des organismes du secteur public
Article 10
Services d’intermédiation de données
La fourniture des services d’intermédiation de données suivants respecte l’article 12 et est soumise à une procédure de notification:
| a) | les services d’intermédiation entre les détenteurs de données et les utilisateurs de données potentiels, y compris la mise à disposition des moyens techniques ou autres nécessaires pour permettre la fourniture desdits services; ces services peuvent comprendre des échanges bilatéraux ou multilatéraux de données ou la création de plateformes ou de bases de données permettant l’échange ou l’utilisation conjointe de données, ainsi que la mise en place d’une autre infrastructure spécifique pour l’interconnexion des détenteurs de données avec les utilisateurs de données; |
| b) | les services d’intermédiation entre, d’une part, les personnes concernées qui cherchent à mettre à disposition leurs données à caractère personnel ou des personnes physiques qui cherchent à mettre à disposition des données à caractère non personnel et, d’autre part, les utilisateurs de données potentiels, y compris la mise à disposition des moyens techniques ou autres nécessaires pour permettre la fourniture desdits services, et notamment pour permettre l’exercice des droits des personnes concernées prévus par le règlement (UE) 2016/679; |
| c) | les services de coopératives de données. |
Article 11
Notification par des prestataires de services d’intermédiation de données
1. Tout prestataire de services d’intermédiation de données qui a l’intention de fournir les services d’intermédiation de données visés à l’article 10 soumet une notification à l’autorité compétente en matière de services d’intermédiation de données.
2. Aux fins du présent règlement, un prestataire de services d’intermédiation de données qui a des établissements dans plusieurs États membres est considéré comme relevant de la compétence de l’État membre dans lequel il a son établissement_principal, sans préjudice du droit de l’Union réglementant les actions transfrontalières en dommages et intérêts et les procédures connexes.
3. Un prestataire de services d’intermédiation de données qui n’est pas établi dans l’Union mais qui propose les services d’intermédiation de données visés à l’article 10 dans l’Union désigne un représentant_légal dans l’un des États membres où il propose lesdits services.
Afin de garantir le respect du présent règlement, le représentant_légal est mandaté par le prestataire de services d’intermédiation de données pour être contacté, en plus dudit prestataire ou à sa place, par les autorités compétentes pour les services d’intermédiation de données ou les personnes concernées et les détenteurs de données, sur toutes les questions liées aux services d’intermédiation de données fournis. Le représentant_légal coopère avec les autorités compétentes pour les services d’intermédiation de données et leur démontre de manière exhaustive, sur demande, les mesures prises et les dispositions mises en place par le prestataire de services d’intermédiation de données pour garantir le respect du présent règlement.
Le prestataire de services d’intermédiation de données est considéré comme relevant de la compétence de l’État membre dans lequel se trouve le représentant_légal. La désignation d’un représentant_légal par le prestataire de services d’intermédiation de données est sans préjudice d’actions en justice qui pourraient être intentées contre le prestataire de services d’intermédiation de données.
4. Après avoir soumis une notification conformément au paragraphe 1, le prestataire de services d’intermédiation de données peut commencer l’activité sous réserve des conditions énoncées au présent chapitre.
5. La notification visée au paragraphe 1 donne au prestataire de services d’intermédiation de données le droit de fournir des services d’intermédiation de données dans tous les États membres.
6. La notification visée au paragraphe 1 comporte les renseignements suivants:
| a) | le nom du prestataire de services d’intermédiation de données; |
| b) | le statut juridique, la forme, la structure de propriété et les filiales pertinentes du prestataire de services d’intermédiation de données ainsi que, lorsque le prestataire de services d’intermédiation de données est enregistré dans un registre de commerce ou dans un autre registre public national similaire, son numéro d’enregistrement; |
| c) | l’adresse de l’éventuel établissement_principal du prestataire de services d’intermédiation de données dans l’Union et, le cas échéant, de toute succursale dans un autre État membre, ou l’adresse du représentant_légal; |
| d) | un site internet public contenant des informations complètes et à jour sur le prestataire de services d’intermédiation de données et ses activités, y compris au minimum les renseignements visés aux points a), b), c) et f); |
| e) | les personnes de contact et les coor données du prestataire de services d’intermédiation de données; |
| f) | une description du service d’intermédiation de données que le prestataire de services d’intermédiation de données a l’intention de fournir, ainsi qu’une indication des catégories énumérées à l’article 10 dont relève ce service d’intermédiation de données; |
| g) | une estimation de la date de lancement de l’activité, si celle-ci est différente de la date de la notification. |
7. L’autorité compétente en matière de services d’intermédiation de données veille à ce que la procédure de notification soit non discriminatoire et ne fausse pas la concurrence.
8. À la demande du prestataire de services d’intermédiation de données, l’autorité compétente en matière de services d’intermédiation de données délivre, dans un délai d’une semaine à partir du moment où la notification est dûment et entièrement complétée, une déclaration standardisée confirmant que le prestataire de services d’intermédiation de données a soumis la notification visée au paragraphe 4 et que cette notification contient les informations visées au paragraphe 6.
9. À la demande du prestataire de services d’intermédiation de données, l’autorité compétente en matière de services d’intermédiation de données confirme que le prestataire de services d’intermédiation de données respecte le présent article et l’article 12. Dès réception de cette confirmation, ledit prestataire de services d’intermédiation de données peut utiliser le label «prestataire de services d’intermédiation de données reconnu dans l’Union» dans ses communications écrites et orales, ainsi qu’un logo commun.
Afin de garantir que les prestataires de services d’intermédiation de données reconnus dans l’Union sont facilement identifiables dans toute l’Union, la Commission conçoit le logo commun par la voie d’actes d’exécution. Les prestataires de services d’intermédiation de données reconnus dans l’Union affichent clairement le logo commun sur chaque publication en ligne et hors ligne qui se rapporte à leurs activités d’intermédiation de données.
Ces actes d’exécution sont adoptés en conformité avec la procédure consultative visée à l’article 33, paragraphe 2.
10. L’autorité compétente en matière de services d’intermédiation de données notifie à la Commission, sans retard et par voie électronique, toute nouvelle notification. La Commission tient et met régulièrement à jour un registre public de tous les prestataires de services d’intermédiation de données proposant leurs services dans l’Union. Les informations visées au paragraphe 6, points a), b), c), d), f) et g), sont publiées dans le registre public.
11. L’autorité compétente en matière de services d’intermédiation de données peut percevoir des redevances pour la notification conformément au droit national. Ces redevances sont proportionnées et objectives et sont fondées sur les coûts administratifs liés au contrôle du respect des dispositions et aux autres activités de contrôle du marché menées par les autorités compétentes en matière de services d’intermédiation de données en rapport avec les notifications des prestataires de services d’intermédiation de données. Dans le cas des PME et des jeunes pousses, l’autorité compétente en matière de services d’intermédiation de données peut percevoir une redevance réduite ou renoncer à la redevance.
12. Les prestataires de services d’intermédiation de données notifient à l’autorité compétente en matière de services d’intermédiation de données toute modification des renseignements communiqués en vertu du paragraphe 6 dans un délai de quatorze jours à compter de la date de la modification.
13. Lorsqu’un prestataire de services d’intermédiation de données cesse ses activités, il le notifie dans un délai de quinze jours à l’autorité compétente en matière de services d’intermédiation de données concernée, déterminée conformément aux paragraphes 1, 2 et 3.
14. L’autorité compétente en matière de services d’intermédiation de données notifie à la Commission, sans retard et par voie électronique, chaque notification visée aux paragraphes 12 et 13. La Commission met à jour en conséquence le registre public des prestataires de services d’intermédiation de données dans l’Union.
Article 19
Enregistrement d’organisations altruistes en matière de données reconnues
1. Une entité qui satisfait aux exigences énoncées à l’article 18 peut présenter une demande d’enregistrement dans le registre public national des organisations altruistes en matière de données reconnues dans l’État membre dans lequel elle est établie.
2. Une entité qui satisfait aux exigences énoncées à l’article 18 et a des établissements dans plusieurs États membres peut présenter une demande d’enregistrement dans le registre public national des organisations altruistes en matière de données reconnues dans l’État membre dans lequel elle a son établissement_principal.
3. Une entité qui satisfait aux exigences énoncées à l’article 18 mais qui n’est pas établie dans l’Union désigne un représentant_légal dans l’un des États membres dans lesquels les services fondés sur l’altruisme en matière de données sont proposés.
Aux fins de garantir le respect du présent règlement, le représentant_légal est mandaté par l’entité pour être contacté, en plus de ladite entité ou à sa place, par les autorités compétentes pour l’enregistrement des organisations altruistes en matière de données ou les personnes concernées et les détenteurs de données, sur toutes les questions liées à ladite entité. Le représentant_légal coopère avec les autorités compétentes pour l’enregistrement des organisations altruistes en matière de données et leur démontre de manière exhaustive, sur demande, les mesures prises et les dispositions mises en place par l’entité pour garantir le respect du présent règlement.
L’entité est considérée comme relevant de la compétence de l’État membre dans lequel se trouve son représentant_légal. Une telle entité peut présenter une demande d’enregistrement dans le registre public national des organisations altruistes en matière de données reconnues dans cet État membre. La désignation d’un représentant_légal par l’entité est sans préjudice d’actions en justice qui pourraient être intentées contre l’entité.
4. Les demandes d’enregistrement visées aux paragraphes 1, 2 et 3 comportent les renseignements suivants:
| a) | le nom de l’entité; |
| b) | le statut juridique et la forme de l’entité ainsi que, lorsque l’entité est enregistrée dans un registre public national, son numéro d’enregistrement; |
| c) | les statuts de l’entité, le cas échéant; |
| d) | les sources de revenus de l’entité; |
| e) | l’adresse de l’éventuel établissement_principal de l’entité dans l’Union et, le cas échéant, de toute succursale dans un autre État membre, ou l’adresse du représentant_légal; |
| f) | un site internet public contenant des informations complètes et à jour sur l’entité et ses activités, y compris au minimum les renseignements visés aux points a), b), d), e) et h); |
| g) | les personnes de contact et les coor données de l’entité; |
| h) | les objectifs d’intérêt général qu’elle entend promouvoir par la collecte de données; |
| i) | la nature des données que l’entité entend contrôler ou traiter et, dans le cas des données à caractère personnel, une indication des catégories de données à caractère personnel; |
| j) | tout autre document démontrant qu’il est satisfait aux exigences énoncées à l’article 18. |
5. Lorsque l’entité a fourni tous les renseignements nécessaires en vertu du paragraphe 4 et après que l’autorité compétente pour l’enregistrement des organisations altruistes en matière de données a évalué la demande d’enregistrement et établi que l’entité satisfait aux exigences énoncées à l’article 18, ladite autorité enregistre l’entité dans le registre public national des organisations altruistes en matière de données reconnues, dans un délai de douze semaines suivant la date de réception de la demande d’enregistrement. L’enregistrement est valable dans tous les États membres.
L’autorité compétente pour l’enregistrement des organisations altruistes en matière de données notifie tout enregistrement à la Commission. La Commission fait figurer l’enregistrement concerné dans le registre public de l’Union des organisations altruistes en matière de données reconnues.
6. Les renseignements visés au paragraphe 4, points a), b), f), g) et h), sont publiés dans le registre public national des organisations altruistes en matière de données reconnues concerné.
7. L’organisation altruiste en matière de données reconnue notifie à l’autorité compétente pour l’enregistrement des organisations altruistes en matière de données concernée toute modification des renseignements communiqués en vertu du paragraphe 4 dans un délai de quatorze jours à compter de la date de la modification.
L’autorité compétente pour l’enregistrement des organisations altruistes en matière de données notifie à la Commission, sans retard et par voie électronique, chaque notification de ce type. Sur la base d’une telle notification, la Commission met à jour, sans retard, le registre public de l’Union des organisations altruistes en matière de données reconnues.
Article 20
Obligations de transparence
1. L’organisation altruiste en matière de données reconnue tient des registres complets et exacts concernant:
| a) | toutes les personnes physiques ou morales qui se sont vu offrir la possibilité de traiter des données détenues par cette organisation altruiste en matière de données reconnue, ainsi que leurs coor données; |
| b) | la date ou la durée du traitement des données à caractère personnel ou de l’utilisation des données à caractère non personnel; |
| c) | la finalité du traitement, telle qu’elle a été déclarée par la personne physique ou morale qui s’est vu offrir la possibilité d’effectuer ce traitement; |
| d) | les éventuelles redevances acquittées par les personnes physiques ou morales traitant les données. |
2. L’organisation altruiste en matière de données reconnue établit et transmet à l’autorité compétente pour l’enregistrement des organisations altruistes en matière de données concernée un rapport annuel d’activité qui contient au moins les éléments suivants:
| a) | des informations sur les activités de l’organisation altruiste en matière de données reconnue; |
| b) | une description de la manière dont les objectifs d’intérêt général pour lesquels des données ont été collectées ont été promus pendant l’exercice considéré; |
| c) | une liste de toutes les personnes physiques et morales qui ont été autorisées à traiter des données qu’elle détient, assortie d’une description sommaire des objectifs d’intérêt général poursuivis par ce traitement de données et de la description des moyens techniques employés en vue de cette utilisation, y compris une description des techniques appliquées pour préserver la vie privée et la protection des données; |
| d) | une synthèse des résultats du traitement des données autorisé par l’organisation altruiste en matière de données reconnue, s’il y a lieu; |
| e) | des informations sur les sources de recettes de l’organisation altruiste en matière de données reconnue, en particulier toutes les recettes résultant de l’ autorisation d’ accès aux données, et sur les dépenses. |
Article 29
Comité européen de l’innovation dans le domaine des données
1. La Commission institue un comité européen de l’innovation dans le domaine des données sous la forme d’un groupe d’experts, qui se compose de représentants des autorités compétentes en matière de services d’intermédiation de données et des autorités compétentes pour l’enregistrement des organisations altruistes en matière de données de tous les États membres, du comité européen de la protection des données, du Contrôleur européen de la protection des données, de l’ENISA, de la Commission, du représentant de l’UE pour les PME ou d’un représentant désigné par le réseau des représentants des PME, et d’autres représentants d’organismes compétents dans des secteurs particuliers ainsi que d’organismes disposant d’une expertise particulière. Lorsqu’elle nomme des experts individuels, la Commission s’efforce de parvenir à un équilibre entre les hommes et les femmes ainsi qu’à un équilibre géographique parmi les membres du groupe d’experts.
2. Le comité européen de l’innovation dans le domaine des données se compose au moins des trois sous-groupes suivants:
| a) | un sous-groupe composé des autorités compétentes en matière de services d’intermédiation de données et des autorités compétentes pour l’enregistrement des organisations altruistes en matière de données en vue de s’acquitter des missions prévues à l’article 30, points a), c), j) et k); |
| b) | un sous-groupe chargé des discussions techniques sur la normalisation, la portabilité et l’interopérabilité conformément à l’article 30, points f) et g); |
| c) | un sous-groupe chargé de la participation des parties prenantes, composé de représentants pertinents de l’industrie, de la recherche, des milieux universitaires, de la société civile, des organismes de normalisation, des espaces européens communs de données pertinents et d’autres parties prenantes concernées et de tiers qui conseillent le comité européen de l’innovation dans le domaine des données sur les missions prévues à l’article 30, points d), e), f), g) et h). |
3. La Commission préside les réunions du comité européen de l’innovation dans le domaine des données.
4. Le comité européen de l’innovation dans le domaine des données est assisté par un secrétariat assuré par la Commission.
Article 34
Sanctions
1. Les États membres déterminent le régime des sanctions applicables aux violations des obligations relatives aux transferts de données à caractère non personnel vers des pays tiers en vertu de l’article 5, paragraphe 14, et de l’article 31, de l’obligation de notification incombant aux prestataires de services d’intermédiation de données en vertu de l’article 11, des conditions liées à la fourniture de services d’intermédiation de données en vertu de l’article 12 et des conditions liées à l’enregistrement en tant qu’organisation altruiste en matière de données reconnue en vertu des articles 18, 20, 21 et 22, et prennent toutes les mesures nécessaires pour assurer la mise en œuvre de ces sanctions. Ces sanctions doivent être effectives, proportionnées et dissuasives. Dans leur régime de sanctions, les États membres tiennent compte des recommandations du comité européen de l’innovation dans le domaine des données. Les États membres informent la Commission, au plus tard le 24 septembre 2023, du régime ainsi déterminé et des mesures ainsi prises, de même que, sans retard, de toute modification apportée ultérieurement à ce régime ou à ces mesures.
2. Les États membres prennent en compte les critères indicatifs et non exhaustifs suivants lorsqu’il s’agit d’imposer des sanctions aux prestataires de services d’intermédiation de données et aux organisations altruistes en matière de données reconnues en cas d’infraction au présent règlement, le cas échéant:
| a) | la nature, la gravité, l’ampleur et la durée de l’infraction; |
| b) | toute mesure prise par le prestataire de services d’intermédiation de données ou l’organisation altruiste en matière de données reconnue pour atténuer ou réparer le préjudice causé par l’infraction; |
| c) | toute infraction antérieure commise par le prestataire de services d’intermédiation de données ou l’organisation altruiste en matière de données reconnue; |
| d) | les avantages financiers obtenus ou les pertes évitées par le prestataire de services d’intermédiation de données ou l’organisation altruiste en matière de données reconnue en raison de l’infraction, si ces avantages ou pertes peuvent être établis de manière fiable; |
| e) | toute autre circonstance aggravante ou atténuante applicable au cas concerné. |
whereas