Article 1 - Objet et champ d'application

  1. Ce règlement établit des règles harmonisées, entre autres, sur :
    • (a) la mise à la disposition de l'utilisateur du produit connecté ou du service connexe des données relatives au produit et des données relatives au service connexe ;
    • (b) la mise à disposition de données par les détenteurs de données aux destinataires de données ;
    • (c) la mise à disposition des données par les détenteurs de données aux organismes du secteur public, à la Commission, à la Banque centrale européenne et aux organes de l'Union, lorsqu'il existe un besoin exceptionnel de ces données pour l'exécution d'une mission spécifique effectuée dans l'intérêt public ;
    • (d) faciliter le passage d'un service de traitement des données à un autre ;
    • (e) la mise en place de garanties contre l'accès illégal de tiers aux données non personnelles ; et
    • (f) l'élaboration de normes d'interopérabilité pour l'accès, le transfert et l'utilisation des données.
  2. Le présent règlement couvre les données à caractère personnel et non personnel, y compris les types de données suivants, dans les contextes suivants :
    • (a) Le chapitre II s'applique aux données, à l'exception du contenu, concernant les performances, l'utilisation et l'environnement des produits connectés et des services connexes ;
    • (b) Le chapitre III s'applique à toutes les données du secteur privé qui sont soumises à des obligations légales de partage des données ;
    • (c) Le chapitre IV s'applique à toute donnée du secteur privé à laquelle on accède et qu'on utilise sur la base d'un contrat entre entreprises ;
    • (d) Le chapitre V s'applique à toutes les données du secteur privé, en mettant l'accent sur les données non personnelles ;
    • (e) Le chapitre VI s'applique à toutes les données et à tous les services traités par les prestataires de services de traitement des données ;
    • (f) Le chapitre VII s'applique à toute donnée non personnelle détenue dans l'Union par des prestataires de services de traitement de données.
  3. Le présent règlement s'applique
    • (a) les fabricants de produits connectés mis sur le marché dans l'Union et les prestataires de services connexes, quel que soit le lieu d'établissement de ces fabricants et prestataires ;
    • (b) les utilisateurs dans l'Union de produits connectés ou de services connexes visés au point a) ;
    • (c) les détenteurs de données, quel que soit leur lieu d'établissement, qui mettent des données à la disposition de destinataires de données dans l'Union ;
    • (d) les destinataires des données dans l'Union à qui les données sont mises à disposition ;
    • (e) aux organismes du secteur public, à la Commission, à la Banque centrale européenne et aux organes de l'Union qui demandent aux détenteurs de données de les mettre à disposition lorsqu'il existe un besoin exceptionnel de ces données pour l'exécution d'une mission spécifique effectuée dans l'intérêt public, ainsi qu'aux détenteurs de données qui fournissent ces données en réponse à cette demande ;
    • (f) les prestataires de services de traitement de données, quel que soit leur lieu d'établissement, qui fournissent ces services à des clients dans l'Union ;
    • (g) les participants aux espaces de données et les vendeurs d'applications utilisant des contrats intelligents, ainsi que les personnes dont le commerce, l'entreprise ou la profession implique le déploiement de contrats intelligents pour d'autres dans le cadre de l'exécution d'un accord.
  4. Lorsque le présent règlement fait référence à des produits connectés ou à des services connexes, ces références s'entendent également comme incluant les assistants virtuels dans la mesure où ils interagissent avec un produit connecté ou un service connexe.
  5. Le présent règlement est sans préjudice du droit de l'Union et du droit national en matière de protection des données à caractère personnel, de respect de la vie privée et de confidentialité des communications et d'intégrité des équipements terminaux, qui s'applique aux données à caractère personnel traitées dans le cadre des droits et obligations prévus par le présent règlement, en particulier les règlements (UE) 2016/679 et (UE) 2018/1725 et la directive 2002/58/CE, y compris les pouvoirs et les compétences des autorités de contrôle et les droits des personnes concernées. Dans la mesure où les utilisateurs sont des personnes concernées, les droits énoncés au chapitre II du présent règlement complètent les droits d'accès des personnes concernées et les droits à la portabilité des données en vertu des articles 15 et 20 du règlement (UE) 2016/679. En cas de conflit entre le présent règlement et le droit de l'Union en matière de protection des données à caractère personnel ou de la vie privée, ou la législation nationale adoptée conformément à ce droit de l'Union, le droit de l'Union ou le droit national pertinent en matière de protection des données à caractère personnel ou de la vie privée prévaut.
  6. Le présent règlement ne s'applique pas aux accords volontaires d'échange de données entre entités privées et publiques, en particulier les accords volontaires de partage de données, et ne les devance pas.
    Le présent règlement n'affecte pas les actes juridiques de l'Union ou nationaux prévoyant le partage, l'accès et l'utilisation de données à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, ou à des fins douanières et fiscales, en particulier les règlements (UE) 2021/784, (UE) 2022/2065 et (UE) 2023/1543 et la directive (UE) 2023/1544, ou la coopération internationale dans ce domaine. Le présent règlement ne s'applique pas à la collecte ou au partage de données, à l'accès à ces données ou à leur utilisation en vertu du règlement (UE) 2015/847 et de la directive (UE) 2015/849. Le présent règlement ne s'applique pas aux domaines qui ne relèvent pas du champ d'application du droit de l'Union et, en tout état de cause, n'affecte pas les compétences des États membres en matière de sécurité publique, de défense ou de sécurité nationale, quel que soit le type de entitéEntité Une personne physique ou morale créée et reconnue comme telle par le droit national de son lieu d'établissement, qui peut, en agissant sous son propre nom, exercer des droits et être soumise à des obligations. Définition selon l'article 6 de la directive (UE) 2022/2555 (directive NIS2) confiées par les États membres pour accomplir des tâches en rapport avec ces compétences, ou leur pouvoir de sauvegarder d'autres fonctions essentielles de l'État, y compris la garantie de l'intégrité territoriale de l'État et le maintien de l'ordre public. Le présent règlement n'affecte pas les compétences des États membres en matière d'administration douanière et fiscale ou de santé et de sécurité des citoyens.
  7. Ce règlement complète l'approche autoréglementaire du règlement (UE) 2018/1807 en ajoutant des obligations d'application générale sur le passage au nuage.
  8. Le présent règlement est sans préjudice des actes juridiques de l'Union et des actes juridiques nationaux prévoyant la protection des droits de propriété intellectuelle, notamment les directives 2001/29/CE, 2004/48/CE et (UE) 2019/790.
  9. Le présent règlement complète et est sans préjudice du droit de l'Union qui vise à promouvoir les intérêts des consommateurs et à leur assurer un niveau élevé de protection, ainsi qu'à protéger leur santé, leur sécurité et leurs intérêts économiques, en particulier les directives 93/13/CEE, 2005/29/CE et 2011/83/UE.
  10. Le présent règlement ne fait pas obstacle à la conclusion de contrats volontaires d'échange licite de données, y compris de contrats conclus sur une base réciproque, qui respectent les exigences énoncées dans le présent règlement.