RÈGLEMENT (UE) 2023/2854 DU PARLEMENT EUROPÉEN ET DU CONSEIL

du 13 décembre 2023
concernant des règles harmonisées relatives à l'accès équitable aux données et à leur utilisation et modifiant le règlement (UE) 2017/2394 et la directive (UE) 2020/1828 (loi sur les données).

LE PARLEMENT EUROPÉEN ET LE CONSEIL DE L'UNION EUROPÉENNE,
vu le traité sur le fonctionnement de l'Union européenne, et notamment son article 114,
Vu la proposition de la Commission européenne,
Après transmission du projet d'acte législatif aux parlements nationaux,
vu l'avis de la Banque centrale européenne (1),
vu l'avis du Comité économique et social européen (2),
vu l'avis du Comité des régions (3),
Agissant conformément à la procédure législative ordinaire (4),

Considérant que

(1) Ces dernières années, les technologies basées sur les données ont eu des effets transformateurs sur tous les secteurs de l'économie. La prolifération des produits connectés à l'internet, en particulier, a augmenté le volume et la valeur potentielle des données pour les consommateurs, les entreprises et la société. Des données de haute qualité et interopérables provenant de différents domaines augmentent la compétitivité et l'innovation et garantissent une croissance économique durable. Les mêmes données peuvent être utilisées et réutilisées à des fins diverses et de manière illimitée, sans perte de qualité ou de quantité.

(2) Les obstacles au partage des données empêchent une répartition optimale des données au profit de la société. Ces obstacles comprennent le manque d'incitations pour les détenteurs de données à conclure volontairement des accords de partage de données, l'incertitude quant aux droits et obligations liés aux données, les coûts liés à la passation de contrats et à la mise en œuvre d'interfaces techniques, le niveau élevé de fragmentation des informations dans des silos de données, la mauvaise gestion des métadonnées, l'absence de normes pour l'interopérabilité sémantique et technique, les goulets d'étranglement qui entravent l'accès aux données, l'absence de pratiques communes de partage de données et l'abus de déséquilibres contractuels en ce qui concerne l'accès aux données et leur utilisation.

(3) Dans les secteurs caractérisés par la présence de microentreprises, de petites entreprises et de moyennes entreprises telles que définies à l'article 2 de l'annexe de la recommandation 2003/361/CE de la Commission (5) (PME), il y a souvent un manque de capacités et de compétences numériques pour collecter, analyser et utiliser les données, et l'accès est souvent restreint lorsqu'un acteur les détient dans le système ou en raison d'un manque d'interopérabilité entre les données, entre les services de données ou par-delà les frontières.

(4) Afin de répondre aux besoins de l'économie numérique et d'éliminer les obstacles au bon fonctionnement du marché intérieur des données, il est nécessaire d'établir un cadre harmonisé précisant qui est autorisé à utiliser des données relatives à des produits ou des données relatives à des services connexes, dans quelles conditions et sur quelle base. En conséquence, les États membres ne devraient pas adopter ou maintenir des exigences nationales supplémentaires concernant des questions relevant du champ d'application du présent règlement, à moins que celui-ci ne le prévoie explicitement, étant donné que cela affecterait son application directe et uniforme. En outre, l'action au niveau de l'Union ne devrait pas porter atteinte aux obligations et engagements découlant des accords commerciaux internationaux conclus par l'Union.

(5) Le présent règlement garantit que les utilisateurs d'un produit connecté ou d'un service connexe dans l'Union peuvent accéder, en temps utile, aux données générées par l'utilisation de ce produit connecté ou de ce service connexe et que ces utilisateurs peuvent utiliser les données, y compris en les partageant avec les tiers de leur choix. Elle impose aux détenteurs de données l'obligation de mettre les données à la disposition des utilisateurs et des tiers de leur choix dans certaines circonstances. Elle garantit également que les détenteurs de données mettent les données à la disposition des destinataires de données dans l'Union dans des conditions équitables, raisonnables et non discriminatoires et de manière transparente. Les règles de droit privé sont essentielles dans le cadre général du partage des données. Par conséquent, le présent règlement adapte les règles du droit des contrats et empêche l'exploitation des déséquilibres contractuels qui entravent l'accès équitable aux données et leur utilisation. Ce règlement garantit également que les détenteurs de données mettent à la disposition des organismes du secteur public, de la Commission, de la Banque centrale européenne ou des organes de l'Union, en cas de besoin exceptionnel, les données nécessaires à l'exécution d'une mission spécifique effectuée dans l'intérêt public. En outre, le présent règlement vise à faciliter le passage d'un service de traitement des données à un autre et à renforcer l'interopérabilité des données et des mécanismes et services de partage des données dans l'Union. Le présent règlement ne doit pas être interprété comme reconnaissant ou conférant un nouveau droit aux détenteurs de données d'utiliser les données générées par l'utilisation d'un produit connecté ou d'un service connexe.

(6) La production de données est le résultat des actions d'au moins deux acteurs, en particulier le concepteur ou le fabricant d'un produit connecté, qui peut aussi, dans de nombreux cas, être un fournisseur de services connexes, et l'utilisateur du produit connecté ou du service connexe. Cela soulève des questions d'équité dans l'économie numérique, car les données enregistrées par les produits connectés ou les services connexes constituent un apport important pour les services après-vente, les services auxiliaires et d'autres services. Afin de concrétiser les importants avantages économiques des données, notamment par le partage des données sur la base d'accords volontaires et le développement de la création de valeur fondée sur les données par les entreprises de l'Union, une approche générale de l'attribution des droits concernant l'accès aux données et leur utilisation est préférable à l'octroi de droits exclusifs d'accès et d'utilisation. Le présent règlement prévoit des règles horizontales qui pourraient être suivies par le droit de l'Union ou le droit national qui traite des situations spécifiques des secteurs concernés.

(7) Le droit fondamental à la protection des données à caractère personnel est garanti, en particulier, par les règlements (UE) 2016/679 (6) et (UE) 2018/1725 (7) du Parlement européen et du Conseil. La directive 2002/58/CE du Parlement européen et du Conseil (8) protège en outre la vie privée et la confidentialité des communications, y compris au moyen de conditions relatives à toutes les données à caractère personnel et non personnel stockées dans les équipements terminaux et à l'accès à partir de ceux-ci. Ces actes législatifs de l'Union constituent la base d'un traitement durable et responsable des données, y compris lorsque les ensembles de données comprennent un mélange de données à caractère personnel et non personnel. Le présent règlement complète le droit de l'Union relatif à la protection des données à caractère personnel et de la vie privée, en particulier les règlements (UE) 2016/679 et (UE) 2018/1725 et la directive 2002/58/CE, et est sans préjudice de ce droit. Aucune disposition du présent règlement ne devrait être appliquée ou interprétée de manière à diminuer ou à limiter le droit à la protection des données à caractère personnel ou le droit au respect de la vie privée et à la confidentialité des communications. Tout traitement de données à caractère personnel en vertu du présent règlement devrait être conforme au droit de l'Union en matière de protection des données, y compris l'exigence d'une base juridique valable pour le traitement en vertu de l'article 6 du règlement (UE) 2016/679 et, le cas échéant, les conditions de l'article 9 dudit règlement et de l'article 5, paragraphe 3, de la directive 2002/58/CE. Le présent règlement ne constitue pas une base juridique pour la collecte ou la génération de données à caractère personnel par le titulaire des données. Le présent règlement impose aux détenteurs de données l'obligation de mettre les données à caractère personnel à la disposition des utilisateurs ou des tiers choisis par l'utilisateur, à la demande de ce dernier. Cet accès devrait être fourni aux données à caractère personnel qui sont traitées par le titulaire des données sur la base de l'une des bases juridiques visées à l'article 6 du règlement (UE) 2016/679. Lorsque l'utilisateur n'est pas la personne concernée, le présent règlement ne crée pas de base juridique pour fournir l'accès aux données à caractère personnel ou pour mettre les données à caractère personnel à la disposition d'un tiers et ne devrait pas être compris comme conférant un nouveau droit au titulaire des données d'utiliser les données à caractère personnel générées par l'utilisation d'un produit connecté ou d'un service connexe. Dans ces cas, il pourrait être dans l'intérêt de l'utilisateur de faciliter le respect des exigences de l'article 6 du règlement (UE) 2016/679. Étant donné que le présent règlement ne devrait pas porter atteinte aux droits des personnes concernées en matière de protection des données, le titulaire des données peut satisfaire aux demandes dans ces cas, notamment en anonymisant les données à caractère personnel ou, lorsque les données facilement accessibles contiennent des données à caractère personnel de plusieurs personnes concernées, en ne transmettant que les données à caractère personnel relatives à l'utilisateur.

(8) Les principes de minimisation des données et de protection des données dès la conception et par défaut sont essentiels lorsque le traitement comporte des risques importants pour les droits fondamentaux des personnes. Compte tenu de l'état de la technique, toutes les parties au partage de données, y compris le partage de données relevant du champ d'application du présent règlement, devraient mettre en œuvre des mesures techniques et organisationnelles pour protéger ces droits. Ces mesures comprennent non seulement la pseudonymisation et le cryptage, mais aussi l'utilisation de technologies de plus en plus disponibles qui permettent d'appliquer des algorithmes aux données et d'en tirer des informations précieuses sans transmission entre les parties ou copie inutile des données brutes ou structurées elles-mêmes.

(9) Sauf disposition contraire du présent règlement, celui-ci n'affecte pas le droit national des contrats, y compris les règles relatives à la formation, à la validité ou aux effets des contrats, ou aux conséquences de la résiliation d'un contrat. Le présent règlement complète et est sans préjudice du droit de l'Union qui vise à promouvoir les intérêts des consommateurs et à leur assurer un niveau élevé de protection, ainsi qu'à protéger leur santé, leur sécurité et leurs intérêts économiques, en particulier la directive 93/13/CEE du Conseil (9) et les directives 2005/29/CE (10) et 2011/83/UE (11) du Parlement européen et du Conseil.

(10) Le présent règlement est sans préjudice des actes juridiques de l'Union et des actes juridiques nationaux qui prévoient le partage des données, l'accès à celles-ci et leur utilisation à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, ou à des fins douanières et fiscales, quelle que soit la base juridique du traité sur le fonctionnement de l'Union européenne (TFUE) sur laquelle ces actes juridiques de l'Union ont été adoptés, ainsi qu'à la coopération internationale dans ce domaine, notamment sur la base de la convention du Conseil de l'Europe sur la cybercriminalité (STE n° 185), faite à Budapest le 23 novembre 2001. Ces actes comprennent les règlements (UE) 2021/784 (12), (UE) 2022/2065 (13) et (UE) 2023/1543 (14) du Parlement européen et du Conseil et la directive (UE) 2023/1544 du Parlement européen et du Conseil (15). Le présent règlement ne s'applique pas à la collecte ou au partage de données, à l'accès à celles-ci ou à leur utilisation en vertu du règlement (UE) 2015/847 du Parlement européen et du Conseil (16) et de la directive (UE) 2015/849 du Parlement européen et du Conseil (17). Le présent règlement ne s'applique pas aux domaines qui ne relèvent pas du champ d'application du droit de l'Union et, en tout état de cause, n'affecte pas les compétences des États membres en matière de sécurité publique, de défense ou de sécurité nationale, d'administration douanière et fiscale ou de santé et de sécurité des citoyens, quel que soit le type de entitéEntité Une personne physique ou morale créée et reconnue comme telle par le droit national de son lieu d'établissement, qui peut, en agissant sous son propre nom, exercer des droits et être soumise à des obligations. Définition selon l'article 6 de la directive (UE) 2022/2555 (directive NIS2) confiées par les États membres pour effectuer des tâches en rapport avec ces compétences.

(11) Le droit de l'Union établissant des exigences en matière de conception physique et de données pour les produits destinés à être mis sur le marché de l'Union ne devrait pas être affecté, à moins que le présent règlement ne le prévoie expressément.

(12) Le présent règlement complète et est sans préjudice du droit de l'Union visant à établir des exigences d'accessibilité pour certains produits et services, en particulier la directive (UE) 2019/882 du Parlement européen et du Conseil (18).

(13) Le présent règlement est sans préjudice des actes juridiques de l'Union et nationaux prévoyant la protection des droits de propriété intellectuelle, y compris les directives 2001/29/CE (19), 2004/48/CE (20) et (UE) 2019/790 (21) du Parlement européen et du Conseil.

(14) Produits connectés qui obtiennent, génèrent ou collectent, au moyen de leurs composants ou de leurs systèmes d'exploitation, des données concernant leurs performances, leur utilisation ou leur environnement et qui sont en mesure de communiquer ces données par l'intermédiaire d'un système d'échange de données. service de communications électroniquesService de communications électroniques Désigne un service normalement fourni contre rémunération via des réseaux de communications électroniques, qui englobe, à l'exception des services fournissant un contenu transmis au moyen de réseaux et de services de communications électroniques ou exerçant un contrôle éditorial sur ce contenu, les types de services suivants : a) "service d'accès à l'internet" tel que défini à l'article 2, deuxième alinéa, point 2), du règlement (UE) 2015/2120 ; b) service de communications interpersonnelles ; et c) services consistant entièrement ou principalement en l'acheminement de signaux, tels que les services de transmission utilisés pour la fourniture de services de machine à machine et pour la radiodiffusion. - Définition selon l'article 2, point (4), de la directive (UE) 2018/1972.L'internet des objets, souvent appelé "internet des objets", devrait relever du champ d'application du présent règlement, à l'exception des prototypes. Les services de communications électroniques comprennent notamment les réseaux téléphoniques terrestres, les réseaux câblés de télévision, les réseaux satellitaires et les réseaux de communication en champ proche. Les produits connectés se retrouvent dans tous les aspects de l'économie et de la société, notamment dans les infrastructures privées, civiles ou commerciales, les véhicules, les équipements de santé et de style de vie, les navires, les aéronefs, les équipements domestiques et les biens de consommation, les dispositifs médicaux et de santé ou les machines agricoles et industrielles. Les choix de conception des fabricants et, le cas échéant, le droit de l'Union ou le droit national qui répond aux besoins et objectifs spécifiques du secteur ou les décisions pertinentes des autorités compétentes, devraient déterminer les données qu'un produit connecté est capable de mettre à disposition.

(15) Les données représentent la numérisation des actions et des événements de l'utilisateur et doivent donc être accessibles à l'utilisateur. Les règles relatives à l'accès aux données provenant de produits connectés et de services connexes et à leur utilisation en vertu du présent règlement concernent à la fois les données relatives aux produits et les données relatives aux services connexes. Les données relatives aux produits sont les données générées par l'utilisation d'un produit connecté que le fabricant a conçu pour qu'un utilisateur, un détenteur de données ou un tiers, y compris, le cas échéant, le fabricant, puisse les récupérer à partir du produit connecté. Les données relatives aux services connexes sont des données qui représentent également la numérisation des actions ou des événements de l'utilisateur liés au produit connecté, qui sont générés lors de la fourniture d'un service connexe par le fournisseur. Les données générées par l'utilisation d'un produit connecté ou d'un service connexe doivent être comprises comme couvrant les données enregistrées intentionnellement ou les données qui résultent indirectement de l'action de l'utilisateur, telles que les données relatives à l'environnement du produit connecté ou à ses interactions. Cela devrait inclure les données relatives à l'utilisation d'un produit connecté générées par une interface utilisateur ou via un service connexe, et ne devrait pas être limité à l'information selon laquelle une telle utilisation a eu lieu, mais devrait inclure toutes les données que le produit connecté génère du fait de cette utilisation, telles que les données générées automatiquement par des capteurs et les données enregistrées par des applications intégrées, y compris les applications indiquant l'état du matériel et les dysfonctionnements. Cela devrait également inclure les données générées par le produit connecté ou le service connexe pendant les périodes d'inaction de l'utilisateur, par exemple lorsque l'utilisateur choisit de ne pas utiliser un produit connecté pendant une période donnée et de le maintenir en mode veille ou même de l'éteindre, étant donné que l'état d'un produit connecté ou de ses composants, par exemple ses batteries, peut varier lorsque le produit connecté est en mode veille ou éteint. Les données qui ne sont pas substantiellement modifiées, c'est-à-dire les données sous forme brute, également connues sous le nom de données sources ou primaires, qui font référence à des points de données générés automatiquement sans autre forme de traitement, ainsi que les données qui ont été prétraitées dans le but de les rendre compréhensibles et utilisables avant un traitement et une analyse ultérieurs, entrent dans le champ d'application du présent règlement. Ces données comprennent les données collectées à partir d'un seul capteur ou d'un groupe de capteurs connectés dans le but de rendre les données collectées compréhensibles pour des cas d'utilisation plus larges en déterminant une quantité ou une qualité physique ou le changement d'une quantité physique, telle que la température, la pression, le débit, l'audio, la valeur du pH, le niveau de liquide, la position, l'accélération ou la vitesse. L'expression "données prétraitées" ne doit pas être interprétée de manière à imposer au détenteur des données l'obligation d'investir des sommes considérables dans le nettoyage et la transformation des données. Les données à mettre à disposition devraient inclure les métadonnées pertinentes, y compris le contexte de base et l'horodatage, afin de les rendre utilisables, combinées avec d'autres données, telles que des données triées et classées avec d'autres points de données les concernant, ou reformatées dans un format communément utilisé. Ces données sont potentiellement précieuses pour l'utilisateur et soutiennent l'innovation et le développement de services numériques et autres pour protéger l'environnement, la santé et l'économie circulaire, notamment en facilitant l'entretien et la réparation des produits connectés en question. En revanche, les informations déduites ou dérivées de ces données, qui sont le résultat d'investissements supplémentaires dans l'attribution de valeurs ou de connaissances à partir des données, en particulier au moyen d'algorithmes propriétaires et complexes, y compris ceux qui font partie d'un logiciel propriétaire, ne devraient pas être considérées comme relevant du champ d'application du présent règlement et, par conséquent, ne devraient pas être soumises à l'obligation d'un détenteur de données de les mettre à la disposition d'un utilisateur ou d'un destinataire de données, sauf accord contraire entre l'utilisateur et le détenteur de données. Ces données pourraient inclure, en particulier, des informations obtenues par fusion de capteurs, qui infèrent ou dérivent des données de plusieurs capteurs, collectées dans le produit connecté, à l'aide d'algorithmes propriétaires et complexes, et qui pourraient faire l'objet de droits de propriété intellectuelle.

(16) Le présent règlement permet aux utilisateurs de produits connectés de bénéficier de services après-vente, de services auxiliaires et d'autres services fondés sur les données collectées par les capteurs intégrés dans ces produits, la collecte de ces données pouvant contribuer à améliorer les performances des produits connectés. Il est important de faire la distinction entre, d'une part, les marchés de la fourniture de produits connectés équipés de capteurs et de services connexes et, d'autre part, les marchés de logiciels et de contenus non liés, tels que les contenus textuels, audio ou audiovisuels, souvent couverts par des droits de propriété intellectuelle. Par conséquent, les données que ces produits connectés équipés de capteurs génèrent lorsque l'utilisateur enregistre, transmet, affiche ou lit un contenu, ainsi que le contenu lui-même, qui est souvent couvert par des droits de propriété intellectuelle, notamment en vue de son utilisation par un service en ligne, ne devraient pas être couverts par le présent règlement. Le présent règlement ne devrait pas non plus couvrir les données obtenues, générées ou consultées à partir du produit connecté, ou qui lui ont été transmises, à des fins de stockage ou d'autres opérations de traitement pour le compte d'autres parties, qui ne sont pas l'utilisateur, comme cela peut être le cas en ce qui concerne les serveurs ou l'infrastructure en nuage exploités par leurs propriétaires entièrement pour le compte de tiers, notamment en vue d'une utilisation par un service en ligne.

(17) Il est nécessaire d'établir des règles concernant les produits qui sont connectés à un service connexe au moment de l'achat, de la location ou du crédit-bail, de telle sorte que son absence empêcherait le produit connecté d'exécuter une ou plusieurs de ses fonctions, ou qui sont connectés ultérieurement au produit par le fabricant ou un tiers afin d'ajouter ou d'adapter les fonctionnalités du produit connecté. Ces services connexes impliquent l'échange de données entre le produit connecté et le prestataire de services et doivent être considérés comme explicitement liés au fonctionnement des fonctions du produit connecté, tels que les services qui, le cas échéant, transmettent au produit connecté des commandes susceptibles d'avoir une incidence sur son action ou son comportement. Les services qui n'ont pas d'incidence sur le fonctionnement du produit connecté et qui n'impliquent pas la transmission de données ou de commandes au produit connecté par le prestataire de services ne doivent pas être considérés comme des services connexes. Il peut s'agir, par exemple, de services auxiliaires de conseil, d'analyse ou de financement, ou encore de services réguliers de réparation et d'entretien. Les services connexes peuvent être proposés dans le cadre d'un contrat d'achat, de location ou de crédit-bail. Des services connexes peuvent également être fournis pour des produits du même type et les utilisateurs peuvent raisonnablement s'attendre à ce qu'ils soient fournis compte tenu de la nature du produit connecté et de toute déclaration publique faite par ou au nom du vendeur, du loueur ou d'autres personnes intervenant dans les maillons précédents de la chaîne de transactions, y compris le fabricant. Ces services connexes peuvent eux-mêmes générer des données ayant une valeur pour l'utilisateur, indépendamment des capacités de collecte de données du produit connecté avec lequel ils sont interconnectés. Le présent règlement devrait également s'appliquer à un service connexe qui n'est pas fourni par le vendeur, le loueur ou le bailleur lui-même, mais qui est fourni par un tiers. En cas de doute sur la question de savoir si le service est fourni dans le cadre du contrat d'achat, de location ou de crédit-bail, le présent règlement devrait s'appliquer. Ni l'alimentation électrique, ni la fourniture de la connectivité ne doivent être interprétées comme des services liés au sens du présent règlement.

(18) L'utilisateur d'un produit connecté doit s'entendre comme une personne physique ou morale, telle qu'une entreprise, un consommateur ou un organisme du secteur public, qui possède un produit connecté, a reçu certains droits temporaires, par exemple au moyen d'un contrat de location ou de bail, d'accéder aux données obtenues à partir du produit connecté ou de les utiliser, ou reçoit des services connexes pour le produit connecté. Ces droits d'accès ne doivent en aucun cas modifier ou interférer avec les droits des personnes concernées qui peuvent interagir avec un produit connecté ou un service connexe en ce qui concerne les données à caractère personnel générées par le produit connecté ou pendant la fourniture du service connexe. L'utilisateur assume les risques et profite des avantages liés à l'utilisation du produit connecté et devrait également avoir accès aux données qu'il génère. L'utilisateur devrait donc avoir le droit de tirer profit des données générées par ce produit connecté et tout service connexe. Un propriétaire, un locataire ou un preneur à bail devrait également être considéré comme un utilisateur, y compris lorsque plusieurs entités peuvent être considérées comme des utilisateurs. Dans le contexte d'utilisateurs multiples, chaque utilisateur peut contribuer de manière différente à la génération de données et avoir un intérêt dans plusieurs formes d'utilisation, telles que la gestion de flotte pour une entreprise de location, ou des solutions de mobilité pour les particuliers utilisant un service de partage de voitures.

(19) La culture des données désigne les compétences, les connaissances et la compréhension qui permettent aux utilisateurs, aux consommateurs et aux entreprises, en particulier aux PME relevant du champ d'application du présent règlement, de prendre conscience de la valeur potentielle des données qu'ils génèrent, produisent et partagent et qu'ils sont incités à proposer et à rendre accessibles conformément aux règles juridiques applicables. La culture des données devrait aller au-delà de l'apprentissage des outils et des technologies et viser à doter les citoyens et les entreprises de la capacité de bénéficier d'un marché des données inclusif et équitable. La diffusion de mesures de maîtrise des données et l'introduction d'actions de suivi appropriées pourraient contribuer à améliorer les conditions de travail et, en fin de compte, à soutenir la consolidation et la voie de l'innovation de l'économie des données dans l'Union. Les autorités compétentes devraient promouvoir des outils et adopter des mesures pour faire progresser la maîtrise des données parmi les utilisateurs et les entités relevant du champ d'application du présent règlement, ainsi que la connaissance de leurs droits et obligations en vertu de celui-ci.

(20) Dans la pratique, toutes les données générées par les produits connectés ou les services connexes ne sont pas facilement accessibles à leurs utilisateurs et les possibilités de portabilité des données générées par les produits connectés à l'internet sont souvent limitées. Les utilisateurs ne sont pas en mesure d'obtenir les données nécessaires pour faire appel aux fournisseurs de services de réparation et autres, et les entreprises ne peuvent pas lancer des services innovants, pratiques et plus efficaces. Dans de nombreux secteurs, les fabricants sont en mesure de déterminer, grâce au contrôle qu'ils exercent sur la conception technique des produits connectés ou des services connexes, quelles données sont générées et comment il est possible d'y accéder, bien qu'ils n'aient aucun droit légal sur ces données. Il est donc nécessaire de veiller à ce que les produits connectés soient conçus et fabriqués, et les services connexes conçus et fournis, de manière à ce que les données relatives aux produits et les données relatives aux services connexes, y compris les métadonnées pertinentes nécessaires pour interpréter et utiliser ces données, notamment pour les récupérer, les utiliser ou les partager, soient toujours accessibles facilement et en toute sécurité à un utilisateur, gratuitement, dans un format complet, structuré, couramment utilisé et lisible par machine. Les données relatives aux produits et aux services connexes qu'un détenteur de données obtient ou peut obtenir légalement du produit connecté ou du service connexe, par exemple grâce à la conception du produit connecté, au contrat du détenteur de données avec l'utilisateur pour la fourniture de services connexes et à ses moyens techniques d'accès aux données, sans effort disproportionné, sont dénommées "données aisément accessibles". Les données aisément disponibles ne comprennent pas les données générées par l'utilisation d'un produit connecté lorsque la conception du produit connecté ne prévoit pas que ces données soient stockées ou transmises en dehors du composant dans lequel elles sont générées ou du produit connecté dans son ensemble. Le présent règlement ne doit donc pas être interprété comme imposant l'obligation de stocker les données sur l'unité centrale de calcul d'un produit connecté. L'absence d'une telle obligation ne devrait pas empêcher le fabricant ou le détenteur des données de convenir volontairement avec l'utilisateur de procéder à de telles adaptations. Les obligations en matière de conception prévues par le présent règlement sont également sans préjudice du principe de minimisation des données énoncé à l'article 5, paragraphe 1, point c), du règlement (UE) 2016/679 et ne devraient pas être comprises comme imposant une obligation de concevoir les produits connectés et les services connexes de manière à ce qu'ils stockent ou traitent d'une autre manière des données à caractère personnel autres que les données à caractère personnel nécessaires au regard des finalités pour lesquelles elles sont traitées. Le droit de l'Union ou le droit national pourrait être introduit pour définir d'autres spécificités, telles que les données relatives aux produits qui devraient être accessibles à partir des produits connectés ou des services connexes, étant donné que ces données peuvent être essentielles au bon fonctionnement, à la réparation ou à l'entretien de ces produits connectés ou de ces services connexes. Lorsque des mises à jour ou des modifications ultérieures d'un produit connecté ou d'un service connexe, par le fabricant ou une autre partie, conduisent à des données accessibles supplémentaires ou à une restriction des données initialement accessibles, ces changements devraient être communiqués à l'utilisateur dans le cadre de la mise à jour ou de la modification.

(21) Lorsque plusieurs personnes ou entités sont considérées comme des utilisateurs, par exemple en cas de copropriété ou lorsqu'un propriétaire, un locataire ou un preneur à bail partage les droits d'accès ou d'utilisation des données, la conception du produit connecté ou du service connexe, ou l'interface correspondante, doit permettre à chaque utilisateur d'avoir accès aux données qu'il génère. L'utilisation de produits connectés qui génèrent des données nécessite généralement la création d'un compte utilisateur. Ce compte permet à l'utilisateur d'être identifié par le détenteur des données, qui peut être le fabricant. Il peut également être utilisé comme moyen de communication et pour soumettre et traiter des demandes d'accès aux données. Lorsque plusieurs fabricants ou prestataires de services connexes ont vendu, loué ou pris en leasing des produits connectés ou fourni des services connexes, intégrés ensemble, à un même utilisateur, ce dernier doit s'adresser à chacune des parties avec lesquelles il a conclu un contrat. Les fabricants ou les concepteurs d'un produit connecté qui est généralement utilisé par plusieurs personnes devraient mettre en place les mécanismes nécessaires pour permettre l'ouverture de comptes d'utilisateur distincts pour chaque personne, le cas échéant, ou la possibilité pour plusieurs personnes d'utiliser le même compte d'utilisateur. Les solutions de compte devraient permettre aux utilisateurs de supprimer leur compte et d'effacer les données qui s'y rapportent, et pourraient permettre aux utilisateurs de mettre fin à l'accès aux données, à leur utilisation ou à leur partage, ou de soumettre des demandes de résiliation, en tenant compte notamment des situations dans lesquelles la propriété ou l'utilisation du produit connecté change. L'accès devrait être accordé à l'utilisateur sur la base d'un mécanisme de demande simple permettant une exécution automatique et ne nécessitant pas d'examen ou d'autorisation de la part du fabricant ou du détenteur des données. Cela signifie que les données ne doivent être mises à disposition que lorsque l'utilisateur souhaite effectivement y accéder. Lorsque l'exécution automatique de la demande d'accès aux données n'est pas possible, par exemple via un compte d'utilisateur ou une application mobile d'accompagnement fournie avec le produit connecté ou le service connexe, le fabricant doit informer l'utilisateur de la manière dont les données peuvent être consultées.

(22) Les produits connectés peuvent être conçus pour rendre certaines données directement accessibles à partir du stockage de données sur l'appareil ou d'un serveur distant auquel les données sont communiquées. L'accès au stockage de données sur l'appareil peut se faire par l'intermédiaire de réseaux locaux câblés ou sans fil connectés à un service de communications électroniques accessible au public ou à un réseau mobile. Le serveur peut être le propre serveur local du fabricant, celui d'un tiers ou d'un fournisseur de services en nuage. Les sous-traitants tels que définis à l'article 4, point (8), du règlement (UE) 2016/679 ne sont pas considérés comme agissant en tant que détenteurs de données. Toutefois, ils peuvent être spécifiquement chargés de mettre les données à disposition par le responsable du traitement tel que défini à l'article 4, point (7), du règlement (UE) 2016/679. Les produits connectés peuvent être conçus pour permettre à l'utilisateur ou à un tiers de traiter les données sur le produit connecté, sur une instance informatique du fabricant ou dans un environnement de technologies de l'information et de la communication (TIC) choisi par l'utilisateur ou le tiers.

(23) Les assistants virtuels jouent un rôle croissant dans la numérisation des environnements professionnels et de consommation et servent d'interface conviviale pour lire des contenus, obtenir des informations ou activer des produits connectés à l'internet. Les assistants virtuels peuvent servir de passerelle unique dans un environnement domestique intelligent, par exemple, et enregistrer des quantités importantes de données pertinentes sur la manière dont les utilisateurs interagissent avec les produits connectés à l'internet, y compris ceux fabriqués par d'autres parties, et peuvent remplacer l'utilisation d'interfaces fournies par le fabricant, telles que les écrans tactiles ou les applications pour smartphone. L'utilisateur peut souhaiter mettre ces données à la disposition de fabricants tiers et permettre de nouveaux services intelligents. Les assistants virtuels devraient être couverts par les droits d'accès aux données prévus par le présent règlement. Les données générées lorsqu'un utilisateur interagit avec un produit connecté par l'intermédiaire d'un assistant virtuel fourni par une entité autre que le fabricant du produit connecté devraient également être couvertes par les droits d'accès aux données prévus par le présent règlement. Toutefois, seules les données résultant de l'interaction entre l'utilisateur et un produit connecté ou un service connexe par l'intermédiaire de l'assistant virtuel devraient être couvertes par le présent règlement. Les données produites par l'assistant virtuel qui ne sont pas liées à l'utilisation d'un produit connecté ou d'un service connexe ne sont pas couvertes par le présent règlement.

(24) Avant de conclure un contrat d'achat, de location ou de crédit-bail d'un produit connecté, le vendeur, le loueur ou le bailleur, qui peut être le fabricant, doit fournir à l'utilisateur, de manière claire et compréhensible, des informations sur les données de produit que le produit connecté est capable de générer, y compris le type, le format et le volume estimé de ces données. Il peut s'agir d'informations sur les structures de données, les formats de données, les vocabulaires, les systèmes de classification, les taxonomies et les listes de codes, le cas échéant, ainsi que d'informations claires et suffisantes, pertinentes pour l'exercice des droits de l'utilisateur, sur la manière dont les données peuvent être stockées, récupérées ou consultées, y compris les conditions d'utilisation et la qualité de service des interfaces de programmation d'applications ou, le cas échéant, la fourniture de kits de développement de logiciels. Cette obligation assure la transparence des données générées par le produit et facilite l'accès de l'utilisateur. L'obligation d'information pourrait être remplie, par exemple, en maintenant un localisateur de ressources uniformes (URL) stable sur le web, qui peut être distribué sous la forme d'un lien web ou d'un code QR, pointant vers les informations pertinentes, qui pourraient être fournies par le vendeur, le loueur ou le bailleur, qui peut être le fabricant, à l'utilisateur avant la conclusion du contrat d'achat, de location ou de crédit-bail d'un produit connecté. En tout état de cause, il est nécessaire que l'utilisateur soit en mesure de stocker les informations d'une manière qui soit accessible pour une consultation ultérieure et qui permette la reproduction à l'identique des informations stockées. On ne peut attendre du détenteur des données qu'il les conserve indéfiniment compte tenu des besoins de l'utilisateur du produit connecté, mais il devrait mettre en œuvre une politique raisonnable de conservation des données, le cas échéant, conformément au principe de limitation du stockage en vertu de l'article 5, paragraphe 1, point e), du règlement (UE) 2016/679, qui permette l'application effective des droits d'accès aux données prévus par le présent règlement. L'obligation de fournir des informations n'affecte pas l'obligation du responsable du traitement de fournir des informations à la personne concernée en vertu des articles 12, 13 et 14 du règlement (UE) 2016/679. L'obligation de fournir des informations avant de conclure un contrat pour la fourniture d'un service connexe devrait incomber au détenteur potentiel des données, indépendamment du fait que le détenteur des données conclut un contrat pour l'achat, la location ou le crédit-bail d'un produit connexe. Lorsque les informations changent au cours de la durée de vie du produit connecté ou de la période contractuelle pour le service connexe, y compris lorsque la finalité pour laquelle ces données doivent être utilisées change par rapport à la finalité spécifiée à l'origine, elles devraient également être fournies à l'utilisateur.

(25) Le présent règlement ne doit pas être interprété comme conférant aux détenteurs de données un nouveau droit d'utiliser les données relatives aux produits ou les données relatives aux services connexes. Lorsque le fabricant d'un produit connecté est un détenteur de données, la base permettant au fabricant d'utiliser des données non personnelles doit être un contrat entre le fabricant et l'utilisateur. Ce contrat pourrait faire partie d'un accord pour la fourniture du service connexe, qui pourrait être conclu en même temps que le contrat d'achat, de location ou de crédit-bail relatif au produit connecté. Toute clause contractuelle stipulant que le détenteur des données peut utiliser les données relatives au produit ou au service connexe doit être transparente pour l'utilisateur, notamment en ce qui concerne les finalités pour lesquelles le détenteur des données entend utiliser les données. Ces finalités pourraient inclure l'amélioration du fonctionnement du produit connecté ou des services connexes, le développement de nouveaux produits ou services, ou l'agrégation de données dans le but de mettre à la disposition de tiers les données dérivées qui en résultent, à condition que ces données dérivées ne permettent pas d'identifier les données spécifiques transmises au détenteur des données par le produit connecté, ou qu'elles ne permettent pas à un tiers de dériver ces données de l'ensemble de données. Toute modification du contrat devrait dépendre de l'accord éclairé de l'utilisateur. Le présent règlement n'empêche pas les parties de convenir de clauses contractuelles ayant pour effet d'exclure ou de limiter l'utilisation de données non personnelles, ou de certaines catégories de données non personnelles, par un détenteur de données. Il n'empêche pas non plus les parties de convenir de mettre les données relatives aux produits ou les données relatives aux services connexes à la disposition de tiers, directement ou indirectement, y compris, le cas échéant, par l'intermédiaire d'un autre détenteur de données. En outre, le présent règlement ne fait pas obstacle aux exigences réglementaires sectorielles prévues par le droit de l'Union ou le droit national compatible avec le droit de l'Union, qui excluraient ou limiteraient l'utilisation de certaines de ces données par le détenteur des données pour des raisons d'ordre public bien définies. Le présent règlement n'empêche pas les utilisateurs, dans le cas de relations interentreprises, de mettre des données à la disposition de tiers ou de détenteurs de données en vertu de toute clause contractuelle licite, y compris en acceptant de limiter ou de restreindre le partage ultérieur de ces données, ou d'être indemnisés proportionnellement, par exemple en échange de la renonciation à leur droit d'utiliser ou de partager ces données. Si la notion de "détenteur de données" n'inclut généralement pas les organismes du secteur public, elle peut inclure les entreprises publiques.

(26) Pour favoriser l'émergence de marchés liquides, équitables et efficaces pour les données non personnelles, les utilisateurs de produits connectés devraient pouvoir partager des données avec d'autres, y compris à des fins commerciales, avec un minimum d'efforts juridiques et techniques. Actuellement, il est souvent difficile pour les entreprises de justifier les coûts de personnel ou de calcul nécessaires pour préparer des ensembles de données non personnelles ou des produits de données et les proposer à des contreparties potentielles par l'intermédiaire de services d'intermédiation de données, y compris les places de marché de données. Un obstacle important au partage de données non personnelles par les entreprises résulte donc de l'absence de prévisibilité du rendement économique de l'investissement dans la conservation et la mise à disposition d'ensembles de données ou de produits de données. Afin de permettre l'émergence de marchés liquides, équitables et efficaces pour les données non personnelles dans l'Union, la partie qui a le droit d'offrir ces données sur un marché doit être clarifiée. Les utilisateurs devraient donc avoir le droit de partager des données non personnelles avec des destinataires de données à des fins commerciales et non commerciales. Ce partage de données peut être effectué directement par l'utilisateur, à la demande de l'utilisateur par l'intermédiaire d'un détenteur de données, ou par l'intermédiaire de services d'intermédiation de données. Les services d'intermédiation de données, régis par le règlement (UE) n° 2022/868 du Parlement européen et du Conseil (22), pourraient faciliter l'économie des données en établissant des relations commerciales entre les utilisateurs, les destinataires de données et les tiers et pourraient aider les utilisateurs à exercer leur droit d'utiliser les données, par exemple en garantissant l'anonymisation des données à caractère personnel ou l'agrégation de l'accès aux données provenant de plusieurs utilisateurs individuels. Lorsque des données sont exclues de l'obligation du détenteur de données de les mettre à la disposition des utilisateurs ou des tiers, la portée de ces données pourrait être précisée dans le contrat conclu entre l'utilisateur et le détenteur de données pour la fourniture d'un service connexe, de sorte que les utilisateurs puissent facilement déterminer les données dont ils disposent pour les partager avec des destinataires de données ou des tiers. Les détenteurs de données ne devraient pas mettre à la disposition de tiers des données non personnelles sur les produits à des fins commerciales ou non commerciales autres que l'exécution de leur contrat avec l'utilisateur, sans préjudice des obligations légales prévues par le droit de l'Union ou le droit national en vertu desquelles un détenteur de données doit mettre des données à disposition. Le cas échéant, les détenteurs de données devraient engager contractuellement les tiers à ne pas partager ultérieurement les données qu'ils ont fournies.

(27) Dans les secteurs caractérisés par la concentration d'un petit nombre de fabricants fournissant des produits connectés aux utilisateurs finaux, il se peut que les utilisateurs ne disposent que d'options limitées en ce qui concerne l'accès aux données, leur utilisation et leur partage. Dans de telles circonstances, les contrats peuvent être insuffisants pour atteindre l'objectif de responsabilisation de l'utilisateur, ce qui fait qu'il est difficile pour les utilisateurs de tirer profit des données générées par le produit connecté qu'ils achètent, louent ou prennent en leasing. Par conséquent, les possibilités pour les petites entreprises innovantes d'offrir des solutions basées sur les données de manière compétitive et pour une économie des données diversifiée dans l'Union sont limitées. Le présent règlement devrait donc s'appuyer sur les développements récents dans des secteurs spécifiques, tels que le code de conduite sur le partage de données agricoles par contrat. Le droit de l'Union ou le droit national peuvent être adoptés pour répondre à des besoins et objectifs sectoriels spécifiques. En outre, les détenteurs de données ne devraient pas utiliser des données facilement accessibles qui ne sont pas des données à caractère personnel pour obtenir des informations sur la situation économique de l'utilisateur ou sur ses actifs ou méthodes de production, ou sur l'utilisation de ces données par l'utilisateur de toute autre manière qui pourrait nuire à la position commerciale de cet utilisateur sur les marchés sur lesquels il est actif. Il peut s'agir de l'utilisation de connaissances sur les performances globales d'une entreprise ou d'une exploitation agricole dans le cadre de négociations contractuelles avec l'utilisateur sur l'acquisition potentielle de produits de l'utilisateur ou de produits agricoles au détriment de l'utilisateur, ou de l'utilisation de ces informations pour alimenter des bases de données plus importantes sur certains marchés dans leur ensemble, par exemple des bases de données sur les rendements des cultures pour la prochaine saison de récolte, étant donné qu'une telle utilisation pourrait avoir une incidence négative sur l'utilisateur de manière indirecte. L'utilisateur doit disposer de l'interface technique nécessaire pour gérer les autorisations, de préférence avec des options d'autorisation granulaires telles que "autoriser une fois" ou "autoriser pendant l'utilisation de cette application ou de ce service", y compris la possibilité de retirer ces autorisations.

(28) Dans les contrats conclus entre un détenteur de données et un consommateur en tant qu'utilisateur d'un produit connecté ou d'un service connexe générant des données, le droit de la consommation de l'Union, en particulier les directives 93/13/CEE et 2005/29/CE, s'applique pour garantir qu'un consommateur n'est pas soumis à des clauses contractuelles abusives. Aux fins du présent règlement, les clauses contractuelles abusives imposées unilatéralement à une entreprise ne devraient pas lier cette dernière.

(29) Les détenteurs de données peuvent exiger une identification appropriée de l'utilisateur pour vérifier qu'il a le droit d'accéder aux données. Dans le cas de données à caractère personnel traitées par un sous-traitant pour le compte du responsable du traitement, les détenteurs de données doivent s'assurer que la demande d'accès est reçue et traitée par le sous-traitant.

(30) L'utilisateur doit être libre d'utiliser les données à toute fin légitime. Cela inclut la fourniture des données que l'utilisateur a reçues en exerçant ses droits au titre du présent règlement à un tiers offrant un service après-vente susceptible d'être en concurrence avec un service fourni par un détenteur de données, ou de donner instruction au détenteur de données de le faire. La demande doit être soumise par l'utilisateur ou par un tiers autorisé agissant au nom de l'utilisateur, y compris un fournisseur d'un service d'intermédiation de données. Les détenteurs de données doivent veiller à ce que les données mises à la disposition du tiers soient aussi exactes, complètes, fiables, pertinentes et à jour que les données auxquelles le détenteur de données lui-même peut ou a le droit d'accéder grâce à l'utilisation du produit connecté ou du service connexe. Tout droit de propriété intellectuelle doit être respecté lors du traitement des données. Il est important de préserver les incitations à investir dans des produits dont les fonctionnalités reposent sur l'utilisation de données provenant de capteurs intégrés dans ces produits.

(31) La directive (UE) 2016/943 du Parlement européen et du Conseil (23) prévoit que l'acquisition, l'utilisation ou la divulgation d'un secret d'affaires est considérée comme licite, entre autres, lorsque cette acquisition, cette utilisation ou cette divulgation est requise ou autorisée par le droit de l'Union ou le droit national. Si le présent règlement impose aux détenteurs de données de divulguer certaines données aux utilisateurs, ou aux tiers choisis par l'utilisateur, même lorsque ces données remplissent les conditions requises pour être protégées en tant que secrets d'affaires, il devrait être interprété de manière à préserver la protection accordée aux secrets d'affaires en vertu de la directive (UE) 2016/943. Dans ce contexte, les détenteurs de données devraient pouvoir exiger des utilisateurs, ou des tiers choisis par l'utilisateur, qu'ils préservent la confidentialité des données considérées comme des secrets d'affaires. À cette fin, les détenteurs de données devraient identifier les secrets d'affaires avant leur divulgation et devraient avoir la possibilité de convenir avec les utilisateurs, ou les tiers choisis par l'utilisateur, des mesures nécessaires pour préserver leur confidentialité, y compris par l'utilisation de clauses contractuelles types, d'accords de confidentialité, de protocoles d'accès stricts, de normes techniques et l'application de codes de conduite. Outre l'utilisation de clauses contractuelles types à élaborer et à recommander par la Commission, l'établissement de codes de conduite et de normes techniques relatives à la protection des secrets commerciaux dans le cadre du traitement des données pourrait contribuer à atteindre l'objectif du présent règlement et devrait être encouragé. Lorsqu'il n'y a pas d'accord sur les mesures nécessaires ou lorsqu'un utilisateur, ou des tiers choisis par l'utilisateur, ne mettent pas en œuvre les mesures convenues ou portent atteinte à la confidentialité des secrets d'affaires, le détenteur des données devrait pouvoir refuser ou suspendre le partage des données identifiées comme des secrets d'affaires. Dans ce cas, le détenteur de données doit communiquer sa décision par écrit à l'utilisateur ou au tiers dans un délai raisonnable et notifier à l'autorité compétente de l'État membre dans lequel il est établi qu'il a retenu ou suspendu le partage des données, en indiquant les mesures qui n'ont pas été convenues ou mises en œuvre et, le cas échéant, les secrets d'affaires dont la confidentialité a été compromise. En principe, les détenteurs de données ne peuvent pas refuser une demande d'accès aux données en vertu du présent règlement au seul motif que certaines données sont considérées comme des secrets d'affaires, car cela irait à l'encontre des effets escomptés du présent règlement. Toutefois, dans des circonstances exceptionnelles, un détenteur de données qui est détenteur d'un secret d'affaires devrait pouvoir, au cas par cas, refuser une demande portant sur les données spécifiques en question s'il est en mesure de démontrer à l'utilisateur ou au tiers que, malgré les mesures techniques et organisationnelles prises par l'utilisateur ou par le tiers, un préjudice économique grave risque fort de résulter de la divulgation de ce secret d'affaires. Un préjudice économique grave implique une perte économique sérieuse et irréparable. Le détenteur des données doit dûment justifier son refus par écrit et dans les plus brefs délais à l'utilisateur ou au tiers et en informer l'autorité compétente. Cette justification doit être fondée sur des éléments objectifs, démontrant les éléments concrets suivants risqueRisque désigne le potentiel de perte ou de perturbation causé par un incident et doit être exprimé comme une combinaison de l'ampleur de cette perte ou de cette perturbation et de la probabilité d'occurrence de l'incident. Définition selon l'article 6 de la directive (UE) 2022/2555 (directive NIS2) le préjudice économique grave susceptible de résulter d'une divulgation spécifique de données et les raisons pour lesquelles les mesures prises pour sauvegarder les données demandées ne sont pas considérées comme suffisantes. Une éventuelle incidence négative sur cybersécuritéCybersécurité "cybersécurité", la cybersécurité telle que définie à l'article 2, point 1), du règlement (UE) 2019/881 ; - Définition selon l'article 6 de la directive (UE) 2022/2555 (directive NIS2) "cybersécurité" : les activités nécessaires pour protéger les réseaux et les systèmes d'information, les utilisateurs de ces systèmes et les autres personnes concernées par les cybermenaces ; - Définition selon l'article 2, point 1), du règlement (UE) 2019/881 ; peuvent être prises en compte dans ce contexte. Sans préjudice du droit de demander réparation devant une juridiction d'un État membre, lorsque l'utilisateur ou un tiers souhaite contester la décision du détenteur de données de refuser ou de retenir ou de suspendre le partage de données, l'utilisateur ou le tiers peut déposer une plainte auprès de l'autorité compétente, qui devrait, sans retard injustifié, décider si et dans quelles conditions le partage de données devrait commencer ou reprendre, ou peut convenir avec le détenteur de données de soumettre l'affaire à un organe de règlement des litiges. Les exceptions aux droits d'accès aux données prévues par le présent règlement ne devraient en aucun cas limiter le droit d'accès et le droit à la portabilité des données des personnes concernées en vertu du règlement (UE) 2016/679.

(32) L'objectif du présent règlement est non seulement de favoriser le développement de nouveaux produits connectés ou services connexes innovants, de stimuler l'innovation sur les marchés secondaires, mais aussi de stimuler le développement de services entièrement nouveaux utilisant les données concernées, y compris sur la base de données provenant d'une variété de produits connectés ou de services connexes. Dans le même temps, le présent règlement vise à éviter de compromettre les incitations à l'investissement pour le type de produit connecté à partir duquel les données sont obtenues, par exemple, par l'utilisation de données pour développer un produit connecté concurrent qui est considéré comme interchangeable ou substituable par les utilisateurs, notamment sur la base des caractéristiques du produit connecté, de son prix et de l'utilisation à laquelle il est destiné. Le présent règlement ne prévoit pas d'interdiction de développer un service connexe en utilisant des données obtenues en vertu du présent règlement, car cela aurait un effet dissuasif indésirable sur l'innovation. L'interdiction d'utiliser les données obtenues en vertu du présent règlement pour développer un produit connecté concurrent protège les efforts d'innovation des détenteurs de données. La question de savoir si un produit connecté est en concurrence avec le produit connecté dont proviennent les données dépend de la question de savoir si les deux produits connectés sont en concurrence sur le même marché de produits. Cela doit être déterminé sur la base des principes établis du droit de la concurrence de l'Union pour définir le marché de produits concerné. Toutefois, les finalités licites de l'utilisation des données peuvent inclure l'ingénierie inverse, à condition qu'elle soit conforme aux exigences établies dans le présent règlement et dans le droit de l'Union ou le droit national. Cela peut être le cas pour réparer ou prolonger la durée de vie d'un produit connecté ou pour fournir des services après-vente aux produits connectés.

(33) Un tiers auquel les données sont mises à disposition peut être une personne physique ou morale, telle qu'un consommateur, une entreprise, une société d'assurance ou une société de crédit foncier. organisme de rechercheOrganisation de la recherche désigne une entité dont l'objectif principal est de mener des activités de recherche appliquée ou de développement expérimental en vue d'exploiter les résultats de cette recherche à des fins commerciales, à l'exclusion des établissements d'enseignement. Définition selon l'article 6 de la directive (UE) 2022/2555 (directive NIS2)Il peut s'agir d'une organisation à but non lucratif ou d'une entité agissant à titre professionnel. En mettant les données à la disposition du tiers, le détenteur des données ne doit pas abuser de sa position pour obtenir un avantage concurrentiel sur des marchés où le détenteur des données et le tiers peuvent être en concurrence directe. Le détenteur des données ne doit donc pas utiliser des données facilement accessibles pour obtenir des informations sur la situation économique, les actifs ou les méthodes de production du tiers, ou sur l'utilisation qu'il en fait, d'une manière qui pourrait nuire à la position commerciale du tiers sur les marchés sur lesquels il est actif. L'utilisateur doit pouvoir partager des données non personnelles avec des tiers à des fins commerciales. En accord avec l'utilisateur et sous réserve des dispositions du présent règlement, les tiers devraient pouvoir transférer les droits d'accès aux données accordés par l'utilisateur à d'autres tiers, y compris en échange d'une compensation. Les intermédiaires de données interentreprises et les systèmes de gestion des informations personnelles (SGIP), dénommés "services d'intermédiation de données" dans le règlement (UE) n° 2022/868, peuvent aider les utilisateurs ou les tiers à établir des relations commerciales avec un nombre indéterminé de contreparties potentielles pour toute finalité licite entrant dans le champ d'application du présent règlement. Ils pourraient jouer un rôle déterminant dans l'agrégation de l'accès aux données afin de faciliter les analyses de big data ou l'apprentissage automatique, à condition que les utilisateurs restent pleinement maîtres de la décision de fournir ou non leurs données à une telle agrégation et des conditions commerciales dans lesquelles leurs données doivent être utilisées.

(34) L'utilisation d'un produit connecté ou d'un service connexe peut, en particulier lorsque l'utilisateur est une personne physique, générer des données qui se rapportent à la personne concernée. Le traitement de ces données est soumis aux règles établies en vertu du règlement (UE) 2016/679, y compris lorsque les données à caractère personnel et les données à caractère non personnel d'un ensemble de données sont inextricablement liées. La personne concernée peut être l'utilisateur ou une autre personne physique. Les données à caractère personnel ne peuvent être demandées que par un responsable du traitement ou une personne concernée. Un utilisateur qui est la personne concernée a, dans certaines circonstances, le droit, en vertu du règlement (UE) 2016/679, d'accéder aux données à caractère personnel le concernant et ces droits ne sont pas affectés par le présent règlement. En vertu du présent règlement, l'utilisateur qui est une personne physique a en outre le droit d'accéder à toutes les données générées par l'utilisation d'un produit connecté, qu'elles soient personnelles ou non personnelles. Lorsque l'utilisateur n'est pas la personne concernée mais une entreprise, y compris un entrepreneur individuel, et non dans le cas d'une utilisation domestique partagée du produit connecté, l'utilisateur est considéré comme un responsable du traitement. Par conséquent, un tel utilisateur qui, en tant que responsable du traitement, entend demander des données à caractère personnel générées par l'utilisation d'un produit connecté ou d'un service connexe est tenu de disposer d'une base juridique pour le traitement des données, comme l'exige l'article 6, paragraphe 1, du règlement (UE) 2016/679, tel que le consentement de la personne concernée ou l'exécution d'un contrat auquel la personne concernée est partie. Cet utilisateur doit veiller à ce que la personne concernée soit dûment informée des finalités déterminées, explicites et légitimes du traitement de ces données, ainsi que de la manière dont la personne concernée peut exercer ses droits de manière effective. Lorsque le détenteur des données et l'utilisateur sont des responsables conjoints du traitement au sens de l'article 26 du règlement (UE) 2016/679, ils sont tenus de déterminer, de manière transparente au moyen d'un arrangement conclu entre eux, leurs responsabilités respectives en ce qui concerne le respect de ce règlement. Il convient de comprendre qu'un tel utilisateur, une fois que les données ont été mises à disposition, peut à son tour devenir un détenteur de données si cet utilisateur répond aux critères prévus par le présent règlement et devient ainsi soumis aux obligations de mise à disposition des données prévues par le présent règlement.

(35) Les données relatives aux produits ou aux services connexes ne devraient être mises à la disposition d'un tiers qu'à la demande de l'utilisateur. Le présent règlement complète en conséquence le droit, prévu à l'article 20 du règlement (UE) 2016/679, des personnes concernées de recevoir les données à caractère personnel les concernant dans un format structuré, couramment utilisé et lisible par machine, ainsi que de porter ces données à un autre responsable du traitement, lorsque ces données sont traitées par des moyens automatisés sur la base de l'article 6, paragraphe 1, point a), ou de l'article 9, paragraphe 2, point a), ou d'un contrat en vertu de l'article 6, paragraphe 1, point b), dudit règlement. Les personnes concernées ont également le droit d'obtenir que les données à caractère personnel soient transmises directement d'un responsable du traitement à un autre, mais uniquement lorsque cela est techniquement possible. L'article 20 du règlement (UE) 2016/679 précise qu'il concerne les données fournies par la personne concernée, mais ne précise pas si cela nécessite un comportement actif de la part de la personne concernée ou si cela s'applique également aux situations dans lesquelles un produit connecté ou un service connexe, de par sa conception, observe le comportement d'une personne concernée ou d'autres informations en rapport avec une personne concernée de manière passive. Les droits prévus par le présent règlement complètent à plusieurs égards le droit de recevoir et de porter des données à caractère personnel prévu à l'article 20 du règlement (UE) 2016/679. Le présent règlement accorde aux utilisateurs le droit d'accéder et de mettre à la disposition d'un tiers toute donnée relative à un produit ou toute donnée relative à un service connexe, indépendamment de leur nature en tant que données à caractère personnel, de la distinction entre les données fournies activement ou observées passivement, et indépendamment de la base juridique du traitement. Contrairement à l'article 20 du règlement (UE) 2016/679, le présent règlement rend obligatoire et garantit la faisabilité technique de l'accès des tiers pour tous les types de données entrant dans son champ d'application, qu'elles soient personnelles ou non personnelles, ce qui permet de garantir que les obstacles techniques n'entravent ou n'empêchent plus l'accès à ces données. Elle permet également aux détenteurs de données de fixer une compensation raisonnable à la charge des tiers, et non de l'utilisateur, pour les coûts encourus lors de la fourniture d'un accès direct aux données générées par le produit connecté de l'utilisateur. Si un détenteur de données et un tiers ne parviennent pas à s'entendre sur les conditions d'un tel accès direct, la personne concernée ne devrait en aucun cas être empêchée d'exercer les droits prévus par le règlement (UE) 2016/679, y compris le droit à la portabilité des données, en introduisant des recours conformément à ce règlement. Il convient de comprendre dans ce contexte que, conformément au règlement (UE) 2016/679, un contrat n'autorise pas le traitement de catégories particulières de données à caractère personnel par le titulaire des données ou le tiers.

(36) L'accès à toute donnée stockée dans un équipement terminal et accessible à partir de celui-ci est soumis à la directive 2002/58/CE et requiert le consentement de l'abonné ou de l'utilisateur au sens de cette directive, à moins qu'il ne soit strictement nécessaire à la fourniture d'un service de la société de l'information explicitement demandé par l'utilisateur ou par l'abonné ou à la seule fin de la transmission d'une communication. La directive 2002/58/CE protège l'intégrité de l'équipement terminal d'un utilisateur en ce qui concerne l'utilisation des capacités de traitement et de stockage et la collecte d'informations. Les équipements de l'internet des objets sont considérés comme des équipements terminaux s'ils sont directement ou indirectement connectés à un réseau public de communications.

(37) Afin d'empêcher l'exploitation des utilisateurs, les tiers auxquels des données ont été communiquées à la demande de l'utilisateur ne doivent traiter ces données qu'aux fins convenues avec l'utilisateur et ne les partager avec un autre tiers qu'avec l'accord de l'utilisateur.

(38) Conformément au principe de minimisation des données, les tiers ne doivent avoir accès qu'aux informations nécessaires à la fourniture du service demandé par l'utilisateur. Après avoir reçu l'accès aux données, le tiers doit les traiter aux fins convenues avec l'utilisateur, sans intervention du détenteur des données. Il doit être aussi facile pour l'utilisateur de refuser ou d'interrompre l'accès du tiers aux données que pour l'utilisateur d'autoriser l'accès. Ni les tiers ni les détenteurs de données ne doivent rendre l'exercice des choix ou des droits de l'utilisateur indûment difficile, notamment en proposant des choix à l'utilisateur d'une manière non neutre, ou en contraignant, trompant ou manipulant l'utilisateur, ou en subvertissant ou en compromettant l'autonomie, la prise de décision ou les choix de l'utilisateur, y compris au moyen d'une interface numérique utilisateur ou d'une partie de celle-ci. Dans ce contexte, les tiers ou les détenteurs de données ne doivent pas s'appuyer sur ce que l'on appelle les "schémas sombres" dans la conception de leurs interfaces numériques. Les "dark patterns" sont des techniques de conception qui poussent ou trompent les consommateurs à prendre des décisions qui ont des conséquences négatives pour eux. Ces techniques de manipulation peuvent être utilisées pour persuader les utilisateurs, en particulier les consommateurs vulnérables, d'adopter un comportement indésirable, pour tromper les utilisateurs en les poussant à prendre des décisions sur des opérations de divulgation de données ou pour biaiser de manière déraisonnable la prise de décision des utilisateurs du service de façon à subvertir ou à compromettre leur autonomie, leur prise de décision et leur choix. Les pratiques commerciales courantes et légitimes qui sont conformes au droit de l'Union ne devraient pas être considérées en elles-mêmes comme des pratiques commerciales déloyales. Les tiers et les détenteurs de données devraient respecter les obligations qui leur incombent en vertu du droit de l'Union applicable, en particulier les exigences énoncées dans les directives 98/6/CE (24) et 2000/31/CE (25) du Parlement européen et du Conseil et dans les directives 2005/29/CE et 2011/83/UE.

(39) Les tiers devraient également s'abstenir d'utiliser des données relevant du champ d'application du présent règlement pour établir des profils de personnes, à moins que ces activités de traitement ne soient strictement nécessaires pour fournir le service demandé par l'utilisateur, y compris dans le cadre d'une prise de décision automatisée. L'obligation d'effacer les données lorsqu'elles ne sont plus nécessaires à la finalité convenue avec l'utilisateur, sauf accord contraire concernant les données à caractère non personnel, complète le droit à l'effacement de la personne concernée conformément à l'article 17 du règlement (UE) 2016/679. Lorsqu'un tiers est un fournisseur d'un service d'intermédiation de données, les garanties pour la personne concernée prévues par le règlement (UE) 2022/868 s'appliquent. Le tiers peut utiliser les données pour développer un produit connecté nouveau et innovant ou un service connexe, mais pas pour développer un produit connecté concurrent.

(40) Les jeunes entreprises, les petites entreprises, les entreprises qualifiées de moyennes au sens de l'article 2 de l'annexe de la recommandation 2003/361/CE et les entreprises des secteurs traditionnels dont les capacités numériques sont moins développées ont du mal à obtenir l'accès aux données pertinentes. Le présent règlement vise à faciliter l'accès aux données pour ces entités, tout en veillant à ce que les obligations correspondantes soient aussi proportionnées que possible afin d'éviter les excès. Dans le même temps, un petit nombre de très grandes entreprises ont émergé avec un pouvoir économique considérable dans l'économie numérique grâce à l'accumulation et à l'agrégation de vastes volumes de données et à l'infrastructure technologique permettant de les monétiser. Ces très grandes entreprises comprennent des entreprises qui fournissent des services de plateforme de base contrôlant des écosystèmes de plateforme entiers dans l'économie numérique et que les opérateurs de marché existants ou nouveaux ne sont pas en mesure de défier ou de contester. Le règlement (UE) 2022/1925 du Parlement européen et du Conseil (26) vise à remédier à ces inefficacités et déséquilibres en permettant à la Commission de désigner une entreprise comme "contrôleur d'accès" et impose un certain nombre d'obligations à ces contrôleurs, notamment l'interdiction de combiner certaines données sans consentement et l'obligation de garantir des droits effectifs à la portabilité des données en vertu de l'article 20 du règlement (UE) 2016/679. Conformément au règlement (UE) 2022/1925, et compte tenu de la capacité inégalée de ces entreprises à acquérir des données, il n'est pas nécessaire pour atteindre l'objectif du présent règlement, et il serait donc disproportionné pour les détenteurs de données soumis à ces obligations, d'inclure les responsables du traitement dans les bénéficiaires du droit d'accès aux données. Une telle inclusion risquerait également de limiter les avantages du présent règlement pour les PME, liés à l'équité de la répartition de la valeur des données entre les acteurs du marché. Cela signifie qu'une entreprise qui fournit des services de plateforme de base et qui a été désignée comme contrôleur d'accès ne peut pas demander ou se voir accorder l'accès aux données des utilisateurs générées par l'utilisation d'un produit connecté ou d'un service connexe ou par un assistant virtuel en vertu du présent règlement. En outre, les tiers auxquels les données sont mises à disposition à la demande de l'utilisateur ne peuvent pas mettre les données à la disposition d'un contrôleur d'accès. Par exemple, le tiers ne peut pas sous-traiter la fourniture du service à un contrôleur d'accès. Toutefois, cela n'empêche pas les tiers d'utiliser les services de traitement des données offerts par un contrôleur d'accès. Cela n'empêche pas non plus ces entreprises d'obtenir et d'utiliser les mêmes données par d'autres moyens légaux. Les droits d'accès prévus par le présent règlement contribuent à élargir le choix de services pour les consommateurs. Étant donné que les accords volontaires entre les responsables du traitement et les détenteurs de données ne sont pas affectés, la limitation de l'accès aux responsables du traitement ne les exclurait pas du marché et ne les empêcherait pas de proposer leurs services.

(41) Compte tenu de l'état actuel de la technologie, il serait excessivement lourd pour les microentreprises et les petites entreprises d'imposer des obligations supplémentaires en matière de dessins ou modèles pour les produits connexes qu'elles fabriquent ou conçoivent, ou pour les services connexes qu'elles fournissent. Ce n'est toutefois pas le cas lorsqu'une microentreprise ou une petite entreprise a une entreprise partenaire ou une entreprise liée au sens de l'article 3 de l'annexe de la recommandation 2003/361/CE qui n'est pas considérée comme une microentreprise ou une petite entreprise et qu'elle est sous-traitée pour la fabrication ou la conception d'un produit connexe ou pour la fourniture d'un service connexe. Dans de telles situations, l'entreprise qui a sous-traité la fabrication ou la conception à une microentreprise ou à une petite entreprise est en mesure d'indemniser le sous-traitant de manière appropriée. Une microentreprise ou une petite entreprise peut néanmoins être soumise aux exigences prévues par le présent règlement en tant que détenteur de données lorsqu'elle n'est pas le fabricant du produit connecté ou un fournisseur de services connexes. Une période transitoire devrait s'appliquer à une entreprise qui a été qualifiée de moyenne entreprise pendant moins d'un an et aux produits connectés pendant un an à compter de la date à laquelle ils ont été mis sur le marché par une moyenne entreprise. Cette période d'un an permet à une entreprise moyenne de s'adapter et de se préparer avant d'affronter la concurrence sur le marché des services pour les produits connectés qu'elle fabrique sur la base des droits d'accès prévus par le présent règlement. Cette période transitoire ne s'applique pas lorsque cette entreprise moyenne a une entreprise partenaire ou une entreprise liée qui ne remplit pas les conditions requises pour être considérée comme une microentreprise ou une petite entreprise, ou lorsque cette entreprise moyenne a été sous-traitée pour fabriquer ou concevoir le produit connecté ou pour fournir le service connexe.

(42) Compte tenu de la diversité des produits connectés produisant des données de nature, de volume et de fréquence différents, présentant des niveaux différents de risques liés aux données et à la cybersécurité et offrant des possibilités économiques de valeur différente, et afin d'assurer la cohérence des pratiques de partage des données dans le marché intérieur, y compris entre les secteurs, et d'encourager et de promouvoir des pratiques équitables de partage des données, même dans les domaines où aucun droit d'accès aux données n'est prévu, le présent règlement prévoit des règles horizontales sur les modalités d'accès aux données chaque fois qu'un détenteur de données est obligé, en vertu du droit de l'Union ou de la législation nationale adoptée conformément au droit de l'Union, de mettre des données à la disposition d'un destinataire de ces données. Cet accès doit être fondé sur des conditions justes, raisonnables, non discriminatoires et transparentes. Ces règles générales d'accès ne s'appliquent pas aux obligations de mise à disposition des données en vertu du règlement (UE) 2016/679. Le partage volontaire de données n'est pas affecté par ces règles. Les modèles de clauses contractuelles non contraignantes pour le partage de données entre entreprises qui doivent être élaborés et recommandés par la Commission peuvent aider les parties à conclure des contrats comprenant des conditions justes, raisonnables et non discriminatoires et qui doivent être mis en œuvre de manière transparente. La conclusion de contrats, qui peuvent inclure les clauses contractuelles types non contraignantes, ne devrait pas signifier que le droit de partager des données avec des tiers est subordonné de quelque manière que ce soit à l'existence d'un tel contrat. Si les parties ne sont pas en mesure de conclure un contrat sur le partage des données, y compris avec le soutien des organes de règlement des différends, le droit de partager des données avec des tiers peut être exercé devant les cours ou tribunaux nationaux.

(43) Sur la base du principe de la liberté contractuelle, les parties doivent rester libres de négocier les conditions précises de la mise à disposition des données dans leurs contrats, dans le cadre des règles générales d'accès à la mise à disposition des données. Les clauses de ces contrats pourraient inclure des mesures techniques et organisationnelles, y compris en ce qui concerne la sécurité des données.

(44) Afin de garantir que les conditions de l'accès obligatoire aux données sont équitables pour les deux parties à un contrat, les règles générales sur les droits d'accès aux données doivent renvoyer à la règle visant à éviter les clauses contractuelles abusives.

(45) Tout accord conclu dans le cadre de relations interentreprises pour la mise à disposition de données doit être non discriminatoire entre des catégories comparables de destinataires de données, que les parties soient de grandes entreprises ou des PME. Afin de compenser le manque d'informations sur les conditions contenues dans les différents contrats, qui fait qu'il est difficile pour le destinataire des données d'évaluer si les conditions de mise à disposition des données sont non discriminatoires, il devrait incomber aux détenteurs de données de démontrer qu'une clause contractuelle n'est pas discriminatoire. Le fait qu'un détenteur de données utilise des conditions contractuelles différentes pour la mise à disposition des données ne constitue pas une discrimination illicite si ces différences sont justifiées par des raisons objectives. Ces obligations sont sans préjudice du règlement (UE) 2016/679.

(46) Afin de promouvoir la poursuite des investissements dans la production et la mise à disposition de données précieuses, y compris les investissements dans les outils techniques pertinents, tout en évitant les charges excessives sur l'accès aux données et leur utilisation qui font que le partage des données n'est plus commercialement viable, le présent règlement contient le principe selon lequel, dans les relations interentreprises, les détenteurs de données peuvent demander une compensation raisonnable lorsqu'ils sont obligés, en vertu du droit de l'Union ou de la législation nationale adoptée conformément au droit de l'Union, de mettre des données à la disposition d'un destinataire de données. Cette compensation ne doit pas être considérée comme un paiement pour les données elles-mêmes. La Commission devrait adopter des lignes directrices sur le calcul de la compensation raisonnable dans l'économie des données.

(47) Premièrement, une compensation raisonnable pour satisfaire à l'obligation, en vertu du droit de l'Union ou de la législation nationale adoptée conformément au droit de l'Union, de répondre à une demande de mise à disposition de données peut inclure une compensation pour les coûts encourus pour la mise à disposition des données. Ces coûts peuvent être des coûts techniques, tels que les coûts nécessaires à la reproduction, à la diffusion par voie électronique et au stockage des données, mais pas à la collecte ou à la production des données. Ces coûts techniques peuvent également inclure les coûts de traitement nécessaires à la mise à disposition des données, y compris les coûts liés au formatage des données. Les coûts liés à la mise à disposition des données peuvent également inclure les coûts de facilitation des demandes concrètes de partage des données. Ils peuvent également varier en fonction du volume des données et des dispositions prises pour les mettre à disposition. Les accords à long terme entre les détenteurs et les destinataires de données, par exemple via un modèle d'abonnement ou l'utilisation de contrats intelligents, peuvent réduire les coûts des transactions régulières ou répétitives dans le cadre d'une relation d'affaires. Les coûts liés à la mise à disposition des données sont soit spécifiques à une demande particulière, soit partagés avec d'autres demandes. Dans ce dernier cas, un seul destinataire de données ne devrait pas payer l'intégralité des coûts liés à la mise à disposition des données. Deuxièmement, une compensation raisonnable peut également inclure une marge, sauf en ce qui concerne les PME et les organismes de recherche à but non lucratif. Cette marge peut varier en fonction de facteurs liés aux données elles-mêmes, tels que le volume, le format ou la nature des données. Elle peut prendre en compte les coûts de collecte des données. Une marge peut donc diminuer lorsque le détenteur des données a collecté les données pour sa propre activité sans investissements significatifs ou augmenter lorsque les investissements dans la collecte des données aux fins de l'activité du détenteur des données sont élevés. Elle peut être limitée, voire exclue, lorsque l'utilisation des données par le destinataire n'a pas d'incidence sur les activités du détenteur des données. Le fait que les données soient co-générées par un produit connecté possédé, loué ou pris en leasing par l'utilisateur pourrait également réduire le montant de la compensation par rapport à d'autres situations où les données sont générées par le détenteur des données, par exemple lors de la fourniture d'un service connexe.

(48) Il n'est pas nécessaire d'intervenir en cas de partage de données entre grandes entreprises, ou lorsque le détenteur des données est une petite entreprise ou une entreprise de taille moyenne et que le destinataire des données est une grande entreprise. Dans ces cas, les entreprises sont considérées comme capables de négocier la compensation dans les limites de ce qui est raisonnable et non discriminatoire.

(49) Afin de protéger les PME contre des charges économiques excessives qui rendraient commercialement trop difficile le développement et la gestion de modèles d'entreprise innovants, la compensation raisonnable pour la mise à disposition des données qu'elles doivent payer ne doit pas dépasser les coûts directement liés à la mise à disposition des données. Les coûts directement liés sont ceux qui sont imputables aux demandes individuelles, compte tenu du fait que les interfaces techniques nécessaires ou les logiciels et la connectivité connexes doivent être mis en place de manière permanente par le détenteur des données. Le même régime devrait s'appliquer aux organismes de recherche à but non lucratif.

(50) Dans des cas dûment justifiés, y compris lorsqu'il est nécessaire de préserver la participation des consommateurs et la concurrence ou de promouvoir l'innovation sur certains marchés, le droit de l'Union ou la législation nationale adoptée conformément au droit de l'Union peut prévoir une compensation réglementée pour la mise à disposition de types de données spécifiques.

(51) La transparence est un principe important pour garantir que la compensation demandée par un détenteur de données est raisonnable ou, si le destinataire des données est une PME ou un organisme de recherche à but non lucratif, que la compensation n'excède pas les coûts directement liés à la mise à disposition des données au destinataire des données et qu'elle est imputable à la demande individuelle concernée. Afin de permettre aux destinataires des données d'évaluer et de vérifier que la compensation est conforme aux exigences du présent règlement, le détenteur des données doit fournir au destinataire des données des informations suffisamment détaillées pour le calcul de la compensation.

(52) Garantir l'accès à d'autres moyens de résoudre les litiges nationaux et transfrontaliers liés à la mise à disposition des données devrait profiter aux détenteurs et aux destinataires des données et, partant, renforcer la confiance dans le partage des données. Lorsque les parties ne parviennent pas à se mettre d'accord sur des conditions équitables, raisonnables et non discriminatoires de mise à disposition des données, les organes de règlement des litiges devraient leur offrir une solution simple, rapide et peu coûteuse. Bien que le présent règlement ne fixe que les conditions que les organismes de règlement des litiges doivent remplir pour être certifiés, les États membres sont libres d'adopter des règles spécifiques pour la procédure de certification, y compris en ce qui concerne l'expiration ou le retrait de la certification. Les dispositions du présent règlement relatives au règlement des litiges ne devraient pas obliger les États membres à créer des organismes de règlement des litiges.

(53) La procédure de règlement des litiges prévue par le présent règlement est une procédure volontaire qui permet aux utilisateurs, aux détenteurs de données et aux destinataires de données de convenir de porter leurs litiges devant des organes de règlement des litiges. Par conséquent, les parties devraient être libres de s'adresser à l'organe de règlement des litiges de leur choix, que ce soit à l'intérieur ou à l'extérieur des États membres dans lesquels ces parties sont établies.

(54) Afin d'éviter les cas où deux ou plusieurs organes de règlement des litiges sont saisis pour le même litige, notamment dans une situation transfrontalière, un organe de règlement des litiges doit pouvoir refuser de traiter une demande de résolution d'un litige qui a déjà été porté devant un autre organe de règlement des litiges ou devant une cour ou un tribunal d'un État membre.

(55) Afin d'assurer l'application uniforme du présent règlement, les organes de règlement des différends devraient tenir compte des modèles de clauses contractuelles non contraignantes qui seront élaborés et recommandés par la Commission, ainsi que du droit de l'Union ou du droit national précisant les obligations en matière de partage des données ou des lignes directrices publiées par les autorités sectorielles pour l'application de ce droit.

(56) Les parties aux procédures de règlement des litiges ne doivent pas être empêchées d'exercer leurs droits fondamentaux à un recours effectif et à un procès équitable. Par conséquent, la décision de soumettre un litige à un organe de règlement des différends ne devrait pas priver ces parties de leur droit de demander réparation devant une juridiction d'un État membre. Les organes de règlement des litiges devraient rendre publics leurs rapports d'activité annuels.

(57) Les détenteurs de données peuvent appliquer des mesures de protection technique appropriées pour empêcher la divulgation illicite de données ou l'accès illicite à celles-ci. Toutefois, ces mesures ne doivent pas opérer de discrimination entre les destinataires des données, ni entraver l'accès aux données ou leur utilisation par les utilisateurs ou les destinataires des données. En cas de pratiques abusives de la part d'un destinataire de données, telles que le fait d'induire en erreur le détenteur des données en fournissant de fausses informations dans l'intention d'utiliser les données à des fins illicites, y compris le développement d'un produit connecté concurrent sur la base des données, le détenteur des données et, le cas échéant et s'il ne s'agit pas de la même personne, le détenteur du secret commercial ou l'utilisateur peuvent demander au tiers ou au destinataire des données de mettre en œuvre des mesures correctives ou correctrices sans retard injustifié. Toute demande de ce type, et en particulier les demandes visant à mettre fin à la production, à l'offre ou à la mise sur le marché de biens, de données dérivées ou de services, ainsi que celles visant à mettre fin à l'importation, à l'exportation, au stockage de biens en infraction ou à leur destruction, doivent être évaluées à la lumière de leur proportionnalité par rapport aux intérêts du détenteur des données, du détenteur du secret d'affaires ou de l'utilisateur.

(58) Lorsqu'une partie est en position de force, elle risque de tirer parti de cette position au détriment de l'autre partie contractante lors de la négociation de l'accès aux données, avec pour conséquence que l'accès aux données est commercialement moins viable et parfois économiquement prohibitif. De tels déséquilibres contractuels nuisent à toutes les entreprises qui n'ont pas la possibilité de négocier les conditions d'accès aux données et qui n'ont parfois pas d'autre choix que d'accepter des conditions contractuelles à prendre ou à laisser. Par conséquent, les clauses contractuelles abusives régissant l'accès aux données et leur utilisation, ou la responsabilité et les recours en cas de violation ou de résiliation des obligations liées aux données, ne devraient pas être contraignantes pour les entreprises lorsque ces clauses ont été imposées unilatéralement à ces dernières.

(59) Les règles relatives aux clauses contractuelles doivent tenir compte du principe de la liberté contractuelle en tant que concept essentiel dans les relations entre entreprises. Par conséquent, ce ne sont pas toutes les clauses contractuelles qui doivent être soumises à un test de caractère abusif, mais uniquement celles qui sont imposées unilatéralement. Cela concerne les situations à prendre ou à laisser, dans lesquelles une partie fournit une certaine clause contractuelle et l'autre entreprise ne peut pas influencer le contenu de cette clause malgré une tentative de négociation. Une clause contractuelle qui est simplement fournie par une partie et acceptée par l'autre entreprise ou une clause qui est négociée et ensuite convenue sous une forme modifiée entre les parties contractantes ne doit pas être considérée comme ayant été imposée unilatéralement.

(60) En outre, les règles relatives aux clauses contractuelles abusives ne doivent s'appliquer qu'aux éléments d'un contrat liés à la mise à disposition des données, c'est-à-dire les clauses contractuelles concernant l'accès aux données et leur utilisation, ainsi que la responsabilité ou les voies de recours en cas de violation et de résiliation des obligations liées aux données. D'autres parties du même contrat, sans rapport avec la mise à disposition des données, ne doivent pas être soumises au test de caractère abusif prévu par le présent règlement.

(61) Les critères d'identification des clauses contractuelles abusives ne doivent être appliqués qu'aux clauses contractuelles excessives, lorsqu'il y a eu abus d'une position de négociation plus forte. La grande majorité des clauses contractuelles qui sont commercialement plus favorables à une partie qu'à l'autre, y compris celles qui sont normales dans les contrats entre entreprises, sont une expression normale du principe de la liberté contractuelle et continuent à s'appliquer. Aux fins du présent règlement, le fait de s'écarter manifestement des bonnes pratiques commerciales consisterait, entre autres, à compromettre objectivement la capacité de la partie à laquelle la clause a été unilatéralement imposée à protéger ses intérêts commerciaux légitimes dans les données en question.

(62) Afin de garantir la sécurité juridique, le présent règlement établit une liste de clauses qui sont toujours considérées comme abusives et une liste de clauses qui sont présumées abusives. Dans ce dernier cas, l'entreprise qui impose la clause contractuelle doit être en mesure de renverser la présomption d'abus en démontrant que la clause contractuelle énumérée dans le présent règlement n'est pas abusive dans le cas d'espèce. Si une clause contractuelle ne figure pas dans la liste des clauses qui sont toujours considérées comme abusives ou qui sont présumées abusives, la disposition générale sur le caractère abusif s'applique. À cet égard, les clauses énumérées comme clauses contractuelles abusives dans le présent règlement devraient servir de référence pour l'interprétation de la clause générale d'abus. Enfin, les modèles non contraignants de clauses contractuelles pour les contrats de partage de données entre entreprises, qui doivent être élaborés et recommandés par la Commission, peuvent également être utiles aux parties commerciales lors de la négociation des contrats. Si une clause contractuelle est déclarée abusive, le contrat concerné devrait continuer à s'appliquer sans cette clause, à moins que la clause contractuelle abusive ne soit pas dissociable des autres clauses du contrat.

(63) Dans des situations de besoin exceptionnel, il peut être nécessaire que les organismes du secteur public, la Commission, la Banque centrale européenne ou les organes de l'Union utilisent, dans l'exercice de leurs fonctions statutaires et dans l'intérêt public, des données existantes, y compris, le cas échéant, les métadonnées qui les accompagnent, pour faire face à des situations d'urgence publique ou dans d'autres cas exceptionnels. Les besoins exceptionnels sont des circonstances imprévisibles et limitées dans le temps, contrairement à d'autres circonstances qui pourraient être planifiées, programmées, périodiques ou fréquentes. Si la notion de "détenteur de données" n'inclut généralement pas les organismes du secteur public, elle peut inclure les entreprises publiques. Les organismes de recherche et les organismes de financement de la recherche pourraient également être organisés comme des organismes du secteur public ou des organismes de droit public. Afin de limiter la charge pesant sur les entreprises, les microentreprises et les petites entreprises ne devraient être tenues de fournir des données aux organismes du secteur public, à la Commission, à la Banque centrale européenne ou aux organes de l'Union que dans des situations de besoin exceptionnel, lorsque ces données sont nécessaires pour répondre à une urgence publique et que l'organisme du secteur public, la Commission, la Banque centrale européenne ou l'organe de l'Union n'est pas en mesure d'obtenir ces données par d'autres moyens en temps utile et de manière efficace dans des conditions équivalentes.

(64) Dans le cas d'urgences publiques, telles que les urgences en matière de santé publique, les urgences résultant de catastrophes naturelles, y compris celles aggravées par le changement climatique et la dégradation de l'environnement, ainsi que les catastrophes majeures d'origine humaine, telles que les incidents majeurs de cybersécurité, l'intérêt public résultant de l'utilisation des données l'emportera sur l'intérêt des détenteurs de données à disposer librement des données qu'ils détiennent. Dans ce cas, les détenteurs de données devraient être tenus de mettre les données à la disposition des organismes du secteur public, de la Commission, de la Banque centrale européenne ou des organes de l'Union, à leur demande. L'existence d'une urgence publique devrait être déterminée ou déclarée conformément au droit de l'Union ou au droit national et sur la base des procédures pertinentes, y compris celles des organisations internationales concernées. Dans ce cas, l'organisme du secteur public doit démontrer que les données faisant l'objet de la demande ne pourraient pas être obtenues autrement, en temps utile et de manière efficace et dans des conditions équivalentes, par exemple par le biais de la fourniture volontaire de données par une autre entreprise ou de la consultation d'une base de données publique.

(65) Un besoin exceptionnel peut également résulter de situations non urgentes. Dans ce cas, un organisme du secteur public, la Commission, la Banque centrale européenne ou un organe de l'Union devrait être autorisé à ne demander que des données à caractère non personnel. L'organisme du secteur public doit démontrer que les données sont nécessaires à l'accomplissement d'une mission spécifique d'intérêt public explicitement prévue par la loi, telle que la production de statistiques officielles ou l'atténuation ou le rétablissement d'une situation d'urgence publique. En outre, une telle demande ne peut être faite que lorsque l'organisme du secteur public, la Commission, la Banque centrale européenne ou un organe de l'Union a identifié des données spécifiques qui ne pourraient pas être obtenues autrement en temps utile et de manière efficace et dans des conditions équivalentes, et seulement s'il a épuisé tous les autres moyens à sa disposition pour obtenir ces données, tels que l'obtention des données par le biais d'accords volontaires, y compris l'achat de données non personnelles sur le marché en offrant les taux du marché, ou en s'appuyant sur les obligations existantes de mise à disposition des données ou l'adoption de nouvelles mesures législatives qui pourraient garantir la disponibilité des données en temps utile. Les conditions et principes régissant les demandes, tels que ceux relatifs à la limitation de la finalité, à la proportionnalité, à la transparence et à la limitation dans le temps, devraient également s'appliquer. En cas de demande de données nécessaires à la production de statistiques officielles, l'organisme public demandeur doit également démontrer si la législation nationale l'autorise à acheter des données non personnelles sur le marché.

(66) Le présent règlement ne devrait pas s'appliquer aux accords volontaires d'échange de données entre entités privées et publiques, y compris la fourniture de données par les PME, ni les devancer, et il est sans préjudice des actes juridiques de l'Union prévoyant des demandes d'informations obligatoires adressées par des entités publiques à des entités privées. Les obligations imposées aux détenteurs de données de fournir des données qui sont motivées par des besoins de nature non exceptionnelle, en particulier lorsque l'éventail des données et des détenteurs de données est connu ou lorsque l'utilisation des données peut se faire sur une base régulière, comme dans le cas des obligations de déclaration et des obligations relatives au marché intérieur, ne devraient pas être affectées par le présent règlement. Les exigences d'accès aux données pour vérifier le respect des règles applicables, y compris lorsque les organismes du secteur public confient la tâche de vérifier le respect des règles à des entités autres que des organismes du secteur public, ne devraient pas non plus être affectées par le présent règlement.

(67) Le présent règlement complète et est sans préjudice du droit de l'Union et du droit national prévoyant l'accès aux données à des fins statistiques et leur utilisation, en particulier le règlement (CE) n° 223/2009 du Parlement européen et du Conseil (27), ainsi que les actes juridiques nationaux relatifs aux statistiques officielles.

(68) Pour l'exercice de leurs missions dans les domaines de la prévention, de la recherche, de la détection ou de la poursuite d'infractions pénales ou administratives ou de l'exécution de sanctions pénales et administratives, ainsi que de la collecte de données à des fins fiscales ou douanières, les organismes du secteur public, la Commission, la Banque centrale européenne ou les organes de l'Union devraient s'appuyer sur les pouvoirs qui leur sont conférés par le droit de l'Union ou le droit national. Le présent règlement n'affecte donc pas les actes législatifs relatifs au partage, à l'accès et à l'utilisation des données dans ces domaines.

(69) Conformément à l'article 6, paragraphes 1 et 3, du règlement (UE) 2016/679, un cadre proportionné, limité et prévisible au niveau de l'Union est nécessaire lorsqu'il s'agit de prévoir la base juridique pour la mise à disposition de données par les détenteurs de données, en cas de besoins exceptionnels, aux organismes du secteur public, à la Commission, à la Banque centrale européenne ou aux organes de l'Union, à la fois pour garantir la sécurité juridique et pour réduire au minimum les charges administratives pesant sur les entreprises. À cette fin, les demandes de données adressées par les organismes du secteur public, la Commission, la Banque centrale européenne ou les organes de l'Union aux détenteurs de données devraient être spécifiques, transparentes et proportionnées quant à l'étendue de leur contenu et à leur granularité. L'objet de la demande et l'utilisation prévue des données demandées doivent être spécifiques et clairement expliqués, tout en laissant à l'entité requérante une marge de manœuvre suffisante pour lui permettre d'accomplir ses tâches spécifiques dans l'intérêt public. La demande doit également respecter les intérêts légitimes du détenteur des données auquel la demande est adressée. La charge pesant sur les détenteurs de données devrait être réduite au minimum en obligeant les entités requérantes à respecter le principe de l'unicité de la demande, qui empêche que les mêmes données soient demandées plus d'une fois par plusieurs organismes du secteur public ou par la Commission, la Banque centrale européenne ou les organes de l'Union. Pour garantir la transparence, les demandes de données formulées par la Commission, la Banque centrale européenne ou les organes de l'Union devraient être rendues publiques sans délai excessif par l'entité qui demande les données. La Banque centrale européenne et les organes de l'Union devraient informer la Commission de leurs demandes. Si la demande de données émane d'un organisme du secteur public, celui-ci devrait également en informer le coordinateur des données de l'État membre dans lequel l'organisme du secteur public est établi. Il convient de veiller à ce que toutes les demandes soient accessibles au public en ligne. Dès réception d'une notification de demande de données, l'autorité compétente peut décider d'évaluer la légalité de la demande et d'exercer ses fonctions en ce qui concerne l'exécution et l'application du présent règlement. Le coordinateur des données doit veiller à ce que toutes les demandes formulées par les organismes du secteur public soient accessibles au public en ligne.

(70) L'obligation de fournir les données a pour objectif de garantir que les organismes du secteur public, la Commission, la Banque centrale européenne ou les organes de l'Union disposent des connaissances nécessaires pour répondre aux urgences publiques, les prévenir ou s'en relever, ou pour maintenir la capacité d'accomplir des tâches spécifiques explicitement prévues par la loi. Les données obtenues par ces entités peuvent être commercialement sensibles. Par conséquent, ni le règlement (UE) 2022/868 ni la directive (UE) 2019/1024 du Parlement européen et du Conseil (28) ne devraient s'appliquer aux données mises à disposition en vertu du présent règlement et ne devraient pas être considérées comme des données ouvertes pouvant être réutilisées par des tiers. Cela ne devrait toutefois pas affecter l'applicabilité de la directive (UE) 2019/1024 à la réutilisation de statistiques officielles pour la production desquelles des données obtenues en vertu du présent règlement ont été utilisées, à condition que la réutilisation n'inclue pas les données sous-jacentes. En outre, pour autant que les conditions énoncées dans le présent règlement soient remplies, la possibilité de partager les données pour mener des recherches ou pour le développement, la production et la diffusion de statistiques officielles ne devrait pas être affectée. Les organismes du secteur public devraient également être autorisés à échanger des données obtenues en vertu du présent règlement avec d'autres organismes du secteur public, la Commission, la Banque centrale européenne ou des organes de l'Union afin de répondre aux besoins exceptionnels pour lesquels les données ont été demandées.

(71) Les détenteurs de données devraient avoir la possibilité de refuser une demande émanant d'un organisme du secteur public, de la Commission, de la Banque centrale européenne ou d'un organe de l'Union, ou de demander sa modification sans retard excessif et, en tout état de cause, au plus tard dans un délai de cinq ou trente jours ouvrables, en fonction de la nature du besoin exceptionnel invoqué dans la demande. Le cas échéant, le détenteur des données devrait avoir cette possibilité lorsqu'il n'a pas le contrôle des données demandées, c'est-à-dire lorsqu'il n'a pas un accès immédiat aux données et qu'il ne peut pas déterminer leur disponibilité. Une raison valable de ne pas mettre les données à disposition devrait exister s'il peut être démontré que la demande est similaire à une demande précédemment soumise pour la même finalité par un autre organisme du secteur public ou par la Commission, la Banque centrale européenne ou un organe de l'Union et que le détenteur des données n'a pas été informé de l'effacement des données en vertu du présent règlement. Le détenteur des données qui refuse la demande ou demande sa modification doit communiquer la justification sous-jacente à l'organisme du secteur public, à la Commission, à la Banque centrale européenne ou à un organe de l'Union qui demande les données. Lorsque les droits sui generis sur les bases de données prévus par la directive 96/9/CE du Parlement européen et du Conseil (29) s'appliquent aux ensembles de données demandés, les détenteurs de données devraient exercer leurs droits de manière à ne pas empêcher l'organisme du secteur public, la Commission, la Banque centrale européenne ou l'organe de l'Union d'obtenir les données, ou de les partager, conformément au présent règlement.

(72) En cas de besoin exceptionnel lié à une intervention d'urgence publique, les organismes du secteur public doivent utiliser des données non personnelles dans la mesure du possible. Dans le cas de demandes fondées sur un besoin exceptionnel non lié à une situation d'urgence publique, les données à caractère personnel ne peuvent être demandées. Lorsque des données à caractère personnel entrent dans le champ d'application de la demande, le détenteur des données doit les rendre anonymes. Lorsqu'il est strictement nécessaire d'inclure des données à caractère personnel dans les données à mettre à la disposition d'un organisme du secteur public, de la Commission, de la Banque centrale européenne ou d'un organe de l'Union, ou lorsque l'anonymisation s'avère impossible, l'entité qui demande les données doit démontrer la stricte nécessité et les finalités spécifiques et limitées du traitement. Les règles applicables en matière de protection des données à caractère personnel doivent être respectées. La mise à disposition des données et leur utilisation ultérieure devraient s'accompagner de garanties concernant les droits et les intérêts des personnes concernées par ces données.

(73) Les données mises à la disposition des organismes du secteur public, de la Commission, de la Banque centrale européenne ou des organes de l'Union sur la base d'un besoin exceptionnel ne devraient être utilisées qu'aux fins pour lesquelles elles ont été demandées, à moins que le détenteur des données qui les a mises à disposition n'ait expressément accepté qu'elles soient utilisées à d'autres fins. Les données doivent être effacées dès qu'elles ne sont plus nécessaires aux fins indiquées dans la demande, sauf accord contraire, et le détenteur des données doit en être informé. Le présent règlement s'appuie sur les régimes d'accès existants dans l'Union et les États membres et ne modifie pas la législation nationale relative à l'accès du public aux documents dans le cadre des obligations de transparence. Les données devraient être effacées dès qu'elles ne sont plus nécessaires au respect de ces obligations de transparence.

(74) Lorsqu'ils réutilisent des données fournies par des détenteurs de données, les organismes du secteur public, la Commission, la Banque centrale européenne ou les organes de l'Union devraient respecter à la fois le droit de l'Union ou le droit national applicable et les obligations contractuelles auxquelles le détenteur des données est soumis. Ils devraient s'abstenir de développer ou d'améliorer un produit connecté ou un service connexe qui concurrence le produit connecté ou le service connexe du détenteur des données, ainsi que de partager les données avec un tiers à ces fins. De même, ils doivent fournir une reconnaissance publique aux détenteurs de données à leur demande et doivent être responsables du maintien de la sécurité des données reçues. Lorsque la divulgation de secrets commerciaux du détenteur des données à des organismes du secteur public, à la Commission, à la Banque centrale européenne ou à des organes de l'Union est strictement nécessaire pour atteindre la finalité pour laquelle les données ont été demandées, la confidentialité de cette divulgation devrait être garantie avant la divulgation des données.

(75) Lorsque la sauvegarde d'un bien public important est en jeu, par exemple en cas d'urgence publique, l'organisme du secteur public, la Commission, la Banque centrale européenne ou l'organe de l'Union concerné ne devrait pas être tenu d'indemniser les entreprises pour les données obtenues. Les urgences publiques sont des événements rares et elles ne nécessitent pas toutes l'utilisation des données détenues par les entreprises. Par ailleurs, l'obligation de fournir des données peut constituer une charge considérable pour les microentreprises et les petites entreprises. Elles devraient donc être autorisées à demander une indemnisation, même dans le cadre d'une intervention en cas d'urgence publique. Les activités commerciales des détenteurs de données ne sont donc pas susceptibles d'être affectées négativement par le recours au présent règlement par les organismes du secteur public, la Commission, la Banque centrale européenne ou les organes de l'Union. Toutefois, étant donné que les cas de besoin exceptionnel, autres que les cas de réponse à des urgences publiques, pourraient être plus fréquents, les détenteurs de données devraient dans ce cas avoir droit à une compensation raisonnable qui ne devrait pas dépasser les coûts techniques et organisationnels encourus pour répondre à la demande et la marge raisonnable nécessaire pour mettre les données à la disposition de l'organisme du secteur public, de la Commission, de la Banque centrale européenne ou de l'organe de l'Union. L'indemnisation ne doit pas être considérée comme un paiement pour les données elles-mêmes ou comme une obligation. Les détenteurs de données ne devraient pas pouvoir demander une compensation lorsque le droit national empêche les instituts nationaux de statistique ou d'autres autorités nationales responsables de la production de statistiques de compenser les détenteurs de données pour la mise à disposition des données. L'organisme du secteur public, la Commission, la Banque centrale européenne ou l'organe de l'Union concerné devrait pouvoir contester le niveau de compensation demandé par le détenteur des données en saisissant l'autorité compétente de l'État membre dans lequel le détenteur des données est établi.

(76) Un organisme du secteur public, la Commission, la Banque centrale européenne ou un organe de l'Union devrait être habilité à partager les données qu'il a obtenues à la suite d'une demande avec d'autres entités ou personnes lorsque cela est nécessaire pour mener des activités de recherche scientifique ou des activités analytiques qu'il ne peut réaliser lui-même, à condition que ces activités soient compatibles avec la finalité pour laquelle les données ont été demandées. Elle doit informer le détenteur des données de ce partage en temps utile. Ces données peuvent également être partagées, dans les mêmes conditions, avec les instituts nationaux de statistique et Eurostat pour le développement, la production et la diffusion de statistiques officielles. Ces activités de recherche doivent toutefois être compatibles avec la finalité pour laquelle les données ont été demandées et le détenteur des données doit être informé du partage ultérieur des données qu'il a fournies. Les personnes effectuant des recherches ou les organismes de recherche avec lesquels ces données peuvent être partagées devraient agir soit sans but lucratif, soit dans le cadre d'une mission d'intérêt public reconnue par l'État. Les organismes sur lesquels des entreprises commerciales exercent une influence significative, permettant à ces entreprises d'exercer un contrôle en raison de situations structurelles susceptibles d'entraîner un accès préférentiel aux résultats de la recherche, ne devraient pas être considérés comme des organismes de recherche aux fins du présent règlement.

(77) Afin de faire face à une urgence publique transfrontalière ou à un autre besoin exceptionnel, les demandes de données peuvent être adressées à des détenteurs de données situés dans des États membres autres que celui de l'organisme du secteur public demandeur. Dans ce cas, l'organisme du secteur public demandeur doit informer l'autorité compétente de l'État membre dans lequel le détenteur des données est établi afin de lui permettre d'examiner la demande au regard des critères établis dans le présent règlement. Il en va de même pour les demandes émanant de la Commission, de la Banque centrale européenne ou d'un organe de l'Union. Lorsque des données à caractère personnel sont demandées, l'organisme du secteur public devrait en informer l'autorité de contrôle chargée de surveiller l'application du règlement (UE) 2016/679 dans l'État membre où l'organisme du secteur public est établi. L'autorité compétente concernée devrait être habilitée à conseiller à l'organisme du secteur public, à la Commission, à la Banque centrale européenne ou à l'organe de l'Union de coopérer avec les organismes du secteur public de l'État membre dans lequel le détenteur des données est établi sur la nécessité de garantir une charge administrative minimale pour le détenteur des données. Lorsque l'autorité compétente a des objections fondées quant à la conformité de la demande avec le présent règlement, elle doit rejeter la demande de l'organisme du secteur public, de la Commission, de la Banque centrale européenne ou de l'organe de l'Union, qui doit tenir compte de ces objections avant de prendre toute autre mesure, y compris la présentation d'une nouvelle demande.

(78) La possibilité pour les clients de services de traitement de données, y compris les services en nuage et en périphérie, de passer d'un service de traitement de données à un autre tout en conservant une fonctionnalité minimale et sans interruption de service, ou d'utiliser les services de plusieurs fournisseurs simultanément sans obstacles ni coûts de transfert de données excessifs, est une condition essentielle pour rendre le marché plus concurrentiel et abaisser les barrières à l'entrée pour les nouveaux fournisseurs de services de traitement de données, et pour garantir une résilience accrue pour les utilisateurs de ces services. Les clients bénéficiant d'offres à accès libre devraient également bénéficier des dispositions relatives au changement de fournisseur prévues par le présent règlement, afin que ces offres n'entraînent pas une situation de verrouillage pour les clients.

(79) Le règlement (UE) 2018/1807 du Parlement européen et du Conseil (30) encourage les fournisseurs de services de traitement de données à élaborer et à mettre en œuvre efficacement des codes de conduite d'autorégulation couvrant les meilleures pratiques pour, entre autres, faciliter le changement de fournisseur de services de traitement de données et le portage de données. Compte tenu de l'adoption limitée des cadres d'autoréglementation élaborés en réponse et de l'indisponibilité générale de normes et d'interfaces ouvertes, il est nécessaire d'adopter un ensemble d'obligations réglementaires minimales pour les fournisseurs de services de traitement de données afin d'éliminer les obstacles précommerciaux, commerciaux, techniques, contractuels et organisationnels, qui ne se limitent pas à la vitesse réduite de transfert des données à la sortie du client, et qui empêchent le passage effectif d'un service de traitement de données à l'autre.

(80) Les services de traitement des données doivent couvrir les services qui permettent un accès en réseau omniprésent et à la demande à un pool partagé configurable, évolutif et élastique de ressources informatiques distribuées. Ces ressources informatiques comprennent des ressources telles que des réseaux, des serveurs ou d'autres infrastructures virtuelles ou physiques, des logiciels, y compris des outils de développement de logiciels, du stockage, des applications et des services. La capacité du client du service de traitement des données à s'auto-approvisionner unilatéralement en capacités informatiques, telles que le temps de serveur ou le stockage en réseau, sans aucune interaction humaine de la part du fournisseur de services de traitement des données, pourrait être décrite comme nécessitant un effort de gestion minimal et comme entraînant une interaction minimale entre le fournisseur et le client. Le terme "ubiquitaire" est utilisé pour décrire les capacités informatiques fournies sur le réseau et accessibles par des mécanismes favorisant l'utilisation de plates-formes hétérogènes de clients légers ou lourds (des navigateurs web aux appareils mobiles en passant par les postes de travail). Le terme "évolutif" fait référence aux ressources informatiques qui sont allouées de manière flexible par le fournisseur de services de traitement des données, indépendamment de la localisation géographique des ressources, afin de faire face aux fluctuations de la demande. Le terme "élastique" est utilisé pour décrire les ressources informatiques qui sont fournies et libérées en fonction de la demande afin d'augmenter ou de réduire rapidement les ressources disponibles en fonction de la charge de travail. Le terme "pool partagé" est utilisé pour décrire les ressources informatiques fournies à plusieurs utilisateurs qui partagent un accès commun au service, mais où le traitement est effectué séparément pour chaque utilisateur, bien que le service soit fourni à partir du même équipement électronique. Le terme "distribué" est utilisé pour décrire les ressources informatiques qui sont situées sur différents ordinateurs ou dispositifs en réseau et qui communiquent et se coordonnent entre elles par la transmission de messages. Le terme "hautement distribué" est utilisé pour décrire les services de traitement des données qui impliquent un traitement des données plus proche de l'endroit où les données sont générées ou collectées, par exemple dans un dispositif de traitement des données connecté. L'informatique en périphérie, qui est une forme de traitement de données hautement distribué, devrait générer de nouveaux modèles commerciaux et modèles de fourniture de services en nuage, qui devraient être ouverts et interopérables dès le départ.

(81) Le concept générique de "services de traitement de données" couvre un nombre important de services dont les finalités, les fonctionnalités et les configurations techniques sont très diverses. Tels qu'ils sont communément compris par les fournisseurs et les utilisateurs et conformément aux normes largement utilisées, les services de traitement des données relèvent d'un ou de plusieurs des trois modèles de fourniture de services de traitement des données suivants, à savoir l'infrastructure en tant que service (IaaS), la plateforme en tant que service (PaaS) et le logiciel en tant que service (SaaS). Ces modèles de fourniture de services représentent une combinaison spécifique et préemballée de ressources TIC offertes par un fournisseur de services de traitement de données. Ces trois modèles fondamentaux de fourniture de services de traitement des données sont complétés par des variantes émergentes, chacune comprenant une combinaison distincte de ressources TIC, telles que le stockage en tant que service et la base de données en tant que service. Les services de traitement des données peuvent être classés de manière plus granulaire et divisés en une liste non exhaustive d'ensembles de services de traitement des données qui partagent le même objectif primaire et les mêmes fonctionnalités principales ainsi que le même type de modèles de traitement des données, qui ne sont pas liés aux caractéristiques opérationnelles du service (même type de service). Les services relevant du même type de service peuvent partager le même modèle de service de traitement des données ; toutefois, deux bases de données peuvent sembler avoir le même objectif principal, mais après examen de leur modèle de traitement des données, de leur modèle de distribution et des cas d'utilisation auxquels elles sont destinées, ces bases de données pourraient entrer dans une sous-catégorie plus granulaire de services similaires. Les services d'un même type peuvent avoir des caractéristiques différentes et concurrentes telles que la performance, la sécurité, la résilience et la qualité de service.

(82) Le fait de compromettre l'extraction des données exportables appartenant au client auprès du fournisseur de services de traitement de données d'origine peut entraver le rétablissement des fonctionnalités du service dans l'infrastructure du fournisseur de services de traitement de données de destination. Afin de faciliter la stratégie de sortie du client, d'éviter les tâches inutiles et contraignantes et de veiller à ce que le client ne perde aucune de ses données à la suite du processus de changement, le fournisseur de services de traitement de données à l'origine devrait informer le client à l'avance de l'étendue des données qui peuvent être exportées lorsque ce client décide de passer à un service différent fourni par un autre fournisseur de services de traitement de données ou de passer à une infrastructure TIC sur site. L'étendue des données exportables doit comprendre, au minimum, les données d'entrée et de sortie, y compris les métadonnées, directement ou indirectement générées, ou cogénérées, par l'utilisation du service de traitement des données par le client, à l'exclusion de tout actif ou donnée du fournisseur de services de traitement des données ou d'une tierce partie. Les données exportables devraient exclure tous les actifs ou données du fournisseur de services de traitement de données ou du tiers qui sont protégés par des droits de propriété intellectuelle ou qui constituent des secrets commerciaux de ce fournisseur ou de ce tiers, ou les données relatives à l'intégrité et à la sécurité du service, dont l'exportation exposerait les fournisseurs de services de traitement de données à des vulnérabilités sur le plan de la cybersécurité. Ces exemptions ne devraient pas entraver ou retarder le processus de changement de fournisseur.

(83) Les actifs numériques désignent les éléments sous forme numérique pour lesquels le client a un droit d'utilisation, y compris les applications et les métadonnées liées à la configuration des paramètres, à la sécurité et à la gestion des droits d'accès et de contrôle, ainsi que d'autres éléments tels que les manifestations des technologies de virtualisation, y compris les machines virtuelles et les conteneurs. Les actifs numériques peuvent être transférés lorsque le client a le droit d'utilisation indépendamment de la relation contractuelle avec le service de traitement des données qu'il a l'intention de quitter. Ces autres éléments sont essentiels à l'utilisation efficace des données et des applications du client dans l'environnement du fournisseur de services de traitement de données destinataire.

(84) Le présent règlement vise à faciliter le passage d'un service de traitement des données à un autre, ce qui englobe les conditions et les actions nécessaires pour qu'un client puisse résilier un contrat portant sur un service de traitement des données, conclure un ou plusieurs nouveaux contrats avec différents fournisseurs de services de traitement des données, porter ses données exportables et ses actifs numériques et, le cas échéant, bénéficier de l'équivalence fonctionnelle.

(85) Le changement de fournisseur est une opération menée par le client qui consiste en plusieurs étapes, notamment l'extraction de données, c'est-à-dire le téléchargement de données à partir de l'écosystème du fournisseur source de services de traitement de données, la transformation, lorsque les données sont structurées d'une manière qui ne correspond pas au schéma de l'emplacement cible, et le téléchargement des données dans un nouvel emplacement de destination. Dans une situation spécifique décrite dans le présent règlement, le dégroupage d'un service particulier du contrat et son transfert vers un autre fournisseur doivent également être considérés comme un changement de fournisseur. Le processus de changement de fournisseur est parfois géré au nom du client par une entité tierce. En conséquence, tous les droits et obligations du client établis par le présent règlement, y compris l'obligation de coopérer de bonne foi, devraient être considérés comme s'appliquant à une telle entité tierce dans ces circonstances. Les fournisseurs de services de traitement des données et les clients ont différents niveaux de responsabilité, en fonction des étapes du processus auquel il est fait référence. Par exemple, le fournisseur de services de traitement des données à la source est responsable de l'extraction des données dans un format lisible par machine, mais c'est le client et le fournisseur de services de traitement des données de destination qui doivent télécharger les données dans le nouvel environnement, à moins qu'un service de transition professionnel spécifique n'ait été obtenu. Un client qui a l'intention d'exercer les droits liés au changement de fournisseur, prévus par le présent règlement, doit informer le fournisseur initial de services de traitement des données de sa décision de changer de fournisseur de services de traitement des données, de passer à une infrastructure TIC sur site ou de supprimer les actifs de ce client et d'effacer ses données exportables.

(86) L'équivalence fonctionnelle consiste à rétablir, sur la base des données exportables et des actifs numériques du client, un niveau minimal de fonctionnalité dans l'environnement d'un nouveau service de traitement de données du même type après le changement de fournisseur, lorsque le service de traitement de données de destination fournit un résultat matériellement comparable en réponse aux mêmes données d'entrée pour les fonctionnalités partagées fournies au client dans le cadre du contrat. On ne peut attendre des fournisseurs de services de traitement de données qu'ils facilitent l'équivalence fonctionnelle pour les fonctionnalités que les services de traitement de données d'origine et de destination offrent indépendamment l'un de l'autre. Le présent règlement ne constitue pas une obligation de faciliter l'équivalence fonctionnelle pour les fournisseurs de services de traitement de données autres que ceux qui offrent des services du modèle de fourniture IaaS.

(87) Les services de traitement des données sont utilisés dans tous les secteurs et varient en complexité et en type de service. Il s'agit d'une considération importante en ce qui concerne le processus de portage et les délais. Néanmoins, une prolongation de la période transitoire pour cause d'infaisabilité technique afin de permettre la finalisation du processus de transfert dans le délai imparti ne devrait être invoquée que dans des cas dûment justifiés. La charge de la preuve à cet égard devrait incomber entièrement au fournisseur du service de traitement des données concerné. Ceci est sans préjudice du droit exclusif du client de prolonger la période transitoire une fois pour une période qu'il considère comme plus appropriée à ses propres fins. Le client peut invoquer ce droit à une prolongation avant ou pendant la période transitoire, en tenant compte du fait que le contrat reste applicable pendant la période transitoire.

(88) Les frais de commutation sont des frais imposés par les fournisseurs de services de traitement de données aux clients pour le processus de commutation. En règle générale, ces frais sont destinés à répercuter sur le client qui souhaite changer de fournisseur les coûts que le fournisseur de services de traitement de données d'origine peut supporter en raison du processus de changement de fournisseur. Des exemples courants de frais de changement sont les coûts liés au transit des données d'un fournisseur de services de traitement des données à un autre ou à une infrastructure TIC sur site (frais de sortie des données) ou les coûts encourus pour des actions de soutien spécifiques au cours du processus de changement. Des frais de sortie des données inutilement élevés et d'autres frais injustifiés sans rapport avec les coûts de commutation réels empêchent les clients de changer de fournisseur, restreignent la libre circulation des données, sont susceptibles de limiter la concurrence et provoquent des effets de verrouillage pour les clients en réduisant les incitations à choisir un fournisseur de services différent ou supplémentaire. Les frais de changement de fournisseur devraient donc être supprimés trois ans après la date d'entrée en vigueur du présent règlement. Les fournisseurs de services de traitement de données devraient pouvoir imposer des frais de changement de fournisseur réduits jusqu'à cette date.

(89) Un fournisseur initial de services de traitement de données devrait pouvoir externaliser certaines tâches et rémunérer des entités tierces afin de se conformer aux obligations prévues par le présent règlement. Un client ne devrait pas supporter les coûts résultant de l'externalisation de services conclus par le fournisseur de services de traitement de données à la source au cours de la procédure de changement de fournisseur et ces coûts devraient être considérés comme injustifiés, à moins qu'ils ne couvrent des travaux entrepris par le fournisseur de services de traitement de données à la demande du client en vue d'une assistance supplémentaire dans la procédure de changement de fournisseur, qui va au-delà des obligations du fournisseur en matière de changement de fournisseur telles qu'elles sont expressément prévues par le présent règlement. Aucune disposition du présent règlement n'empêche un client d'indemniser des entités tierces pour l'aide apportée dans le cadre du processus de migration ou les parties de convenir de contrats de services de traitement des données d'une durée déterminée, y compris des pénalités de résiliation anticipée proportionnées pour couvrir la résiliation anticipée de ces contrats, conformément au droit de l'Union ou au droit national. Afin de favoriser la concurrence, la suppression progressive des frais liés au passage d'un fournisseur de services de traitement de données à un autre devrait inclure spécifiquement les frais de sortie des données imposés par un fournisseur de services de traitement de données à un client. StandardStandard Une spécification technique, adoptée par un organisme de normalisation reconnu, pour une application répétée ou continue, dont le respect n'est pas obligatoire, et qui est l'une des suivantes : (a) "norme internationale", une norme adoptée par un organisme international de normalisation ; b) "norme européenne", une norme adoptée par un organisme européen de normalisation ; c) "norme harmonisée", une norme européenne adoptée sur la base d'une demande d'application de la législation d'harmonisation de l'Union formulée par la Commission ; d) "norme nationale", une norme adoptée par un organisme national de normalisation - Définition selon l'article 2, point 1), du règlement (UE) n° 1025/2012 du Parlement européen et du Conseil. les frais de service pour la fourniture des services de traitement des données eux-mêmes ne sont pas des frais de commutation. Ces frais de service standard ne peuvent pas être retirés et restent applicables jusqu'à ce que le contrat de fourniture des services concernés cesse de s'appliquer. Le présent règlement permet au client de demander la fourniture de services supplémentaires qui vont au-delà des obligations de changement de fournisseur prévues par le présent règlement. Ces services supplémentaires peuvent être fournis et facturés par le fournisseur lorsqu'ils sont fournis à la demande du client et que ce dernier accepte le prix de ces services à l'avance.

(90) Une approche réglementaire de l'interopérabilité ambitieuse et propice à l'innovation est nécessaire pour surmonter le verrouillage des fournisseurs, qui nuit à la concurrence et au développement de nouveaux services. L'interopérabilité entre les services de traitement des données implique de multiples interfaces et couches d'infrastructures et de logiciels et se limite rarement à un test binaire de faisabilité ou d'impossibilité. Au contraire, la construction d'une telle interopérabilité est soumise à une analyse coûts-avantages qui est nécessaire pour établir s'il vaut la peine de rechercher des résultats raisonnablement prévisibles. La norme ISO/IEC 19941:2017 est une norme internationale importante qui constitue une référence pour la réalisation des objectifs du présent règlement, car elle contient des considérations techniques qui clarifient la complexité d'un tel processus.

(91) Lorsque les fournisseurs de services de traitement de données sont à leur tour clients de services de traitement de données fournis par un fournisseur tiers, ils bénéficieront eux-mêmes d'une commutation plus efficace tout en restant liés par les obligations du présent règlement en ce qui concerne leurs propres offres de services.

(92) Les fournisseurs de services de traitement de données devraient être tenus d'offrir toute l'assistance et tout le soutien dont ils disposent, proportionnellement à leurs obligations respectives, pour que le processus de passage à un service d'un autre fournisseur de services de traitement de données soit réussi, efficace et sûr. Le présent règlement n'exige pas des fournisseurs de services de traitement de données qu'ils développent de nouvelles catégories de services de traitement de données, y compris au sein de l'infrastructure TIC de différents fournisseurs de services de traitement de données ou sur la base de cette infrastructure, afin de garantir l'équivalence fonctionnelle dans un environnement autre que leurs propres systèmes. Un fournisseur de services de traitement de données à l'origine n'a pas accès à l'environnement du fournisseur de services de traitement de données destinataire, ni n'en a une idée. L'équivalence fonctionnelle ne doit pas être comprise comme obligeant le fournisseur source de services de traitement de données à reconstruire le service en question dans l'infrastructure du fournisseur destinataire de services de traitement de données. Au contraire, le fournisseur source de services de traitement de données devrait prendre toutes les mesures raisonnables en son pouvoir pour faciliter le processus de réalisation de l'équivalence fonctionnelle en fournissant des capacités, des informations adéquates, de la documentation, une assistance technique et, le cas échéant, les outils nécessaires.

(93) Les fournisseurs de services de traitement des données devraient également être tenus de supprimer les obstacles existants et de ne pas en imposer de nouveaux, y compris pour les clients qui souhaitent passer à une infrastructure TIC sur site. Les obstacles peuvent, entre autres, être de nature précommerciale, commerciale, technique, contractuelle ou organisationnelle. Les fournisseurs de services de traitement de données devraient également être tenus de lever les obstacles au dégroupage d'un service individuel spécifique des autres services de traitement de données fournis dans le cadre d'un contrat et de rendre le service concerné disponible pour un changement de fournisseur, en l'absence d'obstacles techniques majeurs et avérés empêchant un tel dégroupage.

(94) Il convient de maintenir un niveau élevé de sécurité tout au long du processus de changement de fournisseur. Cela signifie que le fournisseur source de services de traitement des données devrait étendre le niveau de sécurité auquel il s'est engagé pour le service à tous les dispositifs techniques dont ce fournisseur est responsable pendant le processus de basculement, tels que les connexions réseau ou les dispositifs physiques. Les droits existants relatifs à la résiliation des contrats, y compris ceux introduits par le règlement (UE) 2016/679 et la directive (UE) 2019/770 du Parlement européen et du Conseil (31), ne devraient pas être affectés. Le présent règlement ne devrait pas être compris comme empêchant un fournisseur de services de traitement de données de fournir à ses clients des services, des caractéristiques et des fonctionnalités nouveaux et améliorés ou de faire concurrence à d'autres fournisseurs de services de traitement de données sur cette base.

(95) Les informations que les fournisseurs de services de traitement de données doivent communiquer au client pourraient étayer la stratégie de désengagement de ce dernier. Ces informations devraient comprendre les procédures permettant de passer du service de traitement des données au service de traitement des données ; les formats de données lisibles par machine vers lesquels les données de l'utilisateur peuvent être exportées ; les outils destinés à exporter les données, y compris les interfaces ouvertes ainsi que les informations sur la compatibilité avec les normes harmonisées ou les spécifications communes fondées sur des spécifications d'interopérabilité ouvertes ; les informations sur les restrictions et limitations techniques connues qui pourraient avoir une incidence sur le processus de passage au service de traitement des données ; et le temps estimé nécessaire pour mener à bien le processus de passage au service de traitement des données.

(96) Pour faciliter l'interopérabilité et le passage d'un service de traitement des données à un autre, les utilisateurs et les fournisseurs de services de traitement des données devraient envisager d'utiliser des outils de mise en œuvre et de conformité, en particulier ceux publiés par la Commission sous la forme d'un EU Cloud Rulebook et d'un guide sur les marchés publics de services de traitement des données. En particulier, les clauses contractuelles types sont bénéfiques car elles renforcent la confiance dans les services de traitement des données, créent une relation plus équilibrée entre les utilisateurs et les fournisseurs de services de traitement des données et améliorent la sécurité juridique en ce qui concerne les conditions applicables au passage à d'autres services de traitement des données. Dans ce contexte, les utilisateurs et les fournisseurs de services de traitement de données devraient envisager d'utiliser des clauses contractuelles types ou d'autres outils de conformité d'autorégulation, à condition qu'ils soient pleinement conformes au présent règlement, élaborés par des organismes compétents ou des groupes d'experts établis en vertu du droit de l'Union.

(97) Afin de faciliter le passage d'un service de traitement des données à un autre, toutes les parties concernées, y compris les fournisseurs de services de traitement des données d'origine et de destination, doivent coopérer de bonne foi pour rendre le processus de passage efficace, permettre le transfert sûr et rapide des données nécessaires dans un format communément utilisé et lisible par machine, et au moyen d'interfaces ouvertes, tout en évitant les interruptions de service et en maintenant la continuité du service.

(98) Les services de traitement de données qui concernent des services dont la majorité des caractéristiques principales ont été conçues sur mesure pour répondre aux demandes spécifiques d'un client particulier ou dont tous les éléments ont été développés pour les besoins d'un client particulier doivent être exemptés de certaines des obligations applicables au changement de service de traitement de données. Cela ne devrait pas inclure les services que le fournisseur de services de traitement de données offre à une large échelle commerciale par le biais de son catalogue de services. Le fournisseur de services de traitement de données a notamment l'obligation d'informer dûment les clients potentiels de ces services, avant la conclusion d'un contrat, des obligations prévues par le présent règlement qui ne s'appliquent pas aux services en question. Rien n'empêche le fournisseur de services de traitement de données de déployer à terme ces services à grande échelle, auquel cas il devra se conformer à toutes les obligations de commutation prévues par le présent règlement.

(99) Conformément à l'exigence minimale permettant de passer d'un fournisseur de services de traitement de données à un autre, le présent règlement vise également à améliorer l'interopérabilité pour l'utilisation en parallèle de plusieurs services de traitement de données dotés de fonctionnalités complémentaires. Il s'agit de situations dans lesquelles les clients ne résilient pas un contrat pour changer de fournisseur de services de traitement des données, mais où plusieurs services de différents fournisseurs sont utilisés en parallèle, de manière interopérable, pour bénéficier des fonctionnalités complémentaires des différents services dans la configuration du système du client. Toutefois, il est admis que la sortie de données d'un fournisseur de services de traitement de données vers un autre afin de faciliter l'utilisation en parallèle des services peut être une activité permanente, contrairement à la sortie ponctuelle requise dans le cadre du processus de changement de fournisseur. Les fournisseurs de services de traitement des données devraient donc continuer à pouvoir imposer des frais de sortie des données, ne dépassant pas les coûts encourus, aux fins de l'utilisation en parallèle après trois ans à compter de la date d'entrée en vigueur du présent règlement. Cela est important, entre autres, pour le déploiement réussi de stratégies multi-cloud, qui permettent aux clients de mettre en œuvre des stratégies TIC à l'épreuve du temps et qui réduisent la dépendance à l'égard de fournisseurs individuels de services de traitement des données. Faciliter une approche multi-cloud pour les clients de services de traitement de données peut également contribuer à accroître leur résilience opérationnelle numérique, comme le reconnaît le règlement (UE) 2022/2554 du Parlement européen et du Conseil (32) pour les institutions de services financiers.

(100) Les spécifications et normes d'interopérabilité ouvertes élaborées conformément à l'annexe II du règlement (UE) n° 1025/2012 du Parlement européen et du Conseil (33) dans le domaine de l'interopérabilité et de la portabilité devraient permettre la mise en place d'un environnement en nuage multifournisseur, qui est une condition essentielle de l'innovation ouverte dans l'économie européenne des données. L'adoption par le marché des normes identifiées dans le cadre de l'initiative de coordination de la normalisation de l'informatique en nuage (CSC) conclue en 2016 ayant été limitée, il est également nécessaire que la Commission s'appuie sur les acteurs du marché pour élaborer des spécifications d'interopérabilité ouvertes pertinentes afin de suivre le rythme rapide de l'évolution technologique dans ce secteur. Ces spécifications d'interopérabilité ouvertes peuvent ensuite être adoptées par la Commission sous la forme de spécifications communes. En outre, lorsque les processus induits par le marché n'ont pas démontré leur capacité à établir des spécifications ou des normes communes facilitant une interopérabilité efficace des services en nuage aux niveaux PaaS et SaaS, la Commission devrait pouvoir, sur la base du présent règlement et conformément au règlement (UE) n° 1025/2012, demander aux organismes européens de normalisation d'élaborer de telles normes pour des types de services spécifiques lorsque de telles normes n'existent pas encore. En outre, la Commission encouragera les acteurs du marché à élaborer des spécifications d'interopérabilité ouvertes pertinentes. Après avoir consulté les parties prenantes, la Commission devrait pouvoir, au moyen d'actes d'exécution, imposer l'utilisation de normes harmonisées pour l'interopérabilité ou de spécifications communes pour des types de services spécifiques, par le biais d'une référence dans un référentiel central de normes de l'Union pour l'interopérabilité des services de traitement des données. Les fournisseurs de services de traitement de données devraient assurer la compatibilité avec ces normes harmonisées et ces spécifications communes fondées sur des spécifications d'interopérabilité ouvertes, ce qui ne devrait pas avoir d'incidence négative sur la sécurité ou l'intégrité des données. Les normes harmonisées pour l'interopérabilité des services de traitement des données et les spécifications communes fondées sur des spécifications d'interopérabilité ouvertes ne seront référencées que si elles sont conformes aux critères spécifiés dans le présent règlement, qui ont la même signification que les exigences de l'annexe II du règlement (UE) n° 1025/2012 et les facettes d'interopérabilité définies dans la norme internationale ISO/IEC 19941:2017. En outre, la normalisation devrait tenir compte des besoins des PME.

(101) Les pays tiers peuvent adopter des lois, des règlements et d'autres actes juridiques visant à transférer directement des données à caractère non personnel situées en dehors de leurs frontières, y compris dans l'Union, ou à permettre aux pouvoirs publics d'y accéder. Les décisions des cours ou tribunaux ou les décisions d'autres autorités judiciaires ou administratives, y compris les services répressifs des pays tiers, exigeant un tel transfert de données à caractère non personnel ou un tel accès à ces données devraient être exécutoires lorsqu'elles sont fondées sur un accord international, tel qu'un traité d'entraide judiciaire, en vigueur entre le pays tiers requérant et l'Union ou un État membre. Dans d'autres cas, il peut arriver qu'une demande de transfert de données à caractère non personnel ou d'accès à ces données émanant d'une loi d'un pays tiers entre en conflit avec l'obligation de protéger ces données en vertu du droit de l'Union ou du droit national de l'État membre concerné, en particulier en ce qui concerne la protection des droits fondamentaux de l'individu, tels que le droit à la sécurité et le droit à un recours effectif, ou les intérêts fondamentaux d'un État membre liés à la sécurité ou à la défense nationales, ainsi que la protection des données commercialement sensibles, y compris la protection des secrets commerciaux, et la protection des droits de propriété intellectuelle, y compris ses engagements contractuels en matière de confidentialité conformément à ce droit. En l'absence d'accords internationaux régissant ces questions, le transfert de données à caractère non personnel ou l'accès à ces données ne devrait être autorisé que s'il a été vérifié que le système juridique du pays tiers exige que la décision soit motivée et proportionnée, que l'injonction ou la décision est spécifique et que l'objection motivée du destinataire est soumise au contrôle d'une juridiction compétente du pays tiers qui est habilitée à prendre dûment en compte les intérêts légaux pertinents du fournisseur de ces données. Chaque fois que les conditions de la demande d'accès aux données de l'autorité du pays tiers le permettent, le fournisseur de services de traitement des données devrait pouvoir informer le client dont les données sont demandées avant d'accorder l'accès à ces données afin de vérifier l'existence d'un conflit potentiel entre cet accès et le droit de l'Union ou le droit national, tel que celui relatif à la protection des données commercialement sensibles, y compris la protection des secrets commerciaux et des droits de propriété intellectuelle, et les engagements contractuels en matière de confidentialité.

(102) Pour renforcer la confiance dans les données, il est important que des garanties permettant aux citoyens de l'Union, aux organismes du secteur public et aux entreprises de contrôler leurs données soient mises en œuvre dans la mesure du possible. En outre, le droit, les valeurs et les normes de l'Union concernant, entre autres, la sécurité, la protection des données et de la vie privée et la protection des consommateurs devraient être respectés. Afin d'empêcher l'accès gouvernemental illégal aux données à caractère non personnel par les autorités de pays tiers, les fournisseurs de services de traitement de données soumis au présent règlement, tels que les services en nuage et en périphérie, devraient prendre toutes les mesures raisonnables pour empêcher l'accès aux systèmes sur lesquels les données à caractère non personnel sont stockées, y compris, le cas échéant, par le cryptage des données, la soumission fréquente à des audits, l'adhésion vérifiée à des systèmes de certification de réassurance de sécurité pertinents, et par la modification des politiques d'entreprise.

(103) La normalisation et l'interopérabilité sémantique devraient jouer un rôle clé en fournissant des solutions techniques pour assurer l'interopérabilité au sein des espaces européens communs de données et entre eux, qui sont des cadres interopérables spécifiques à un objectif ou à un secteur, ou intersectoriels, pour des normes et des pratiques communes permettant de partager ou de traiter conjointement des données, notamment pour le développement de nouveaux produits et services, la recherche scientifique ou des initiatives de la société civile. Le présent règlement fixe certaines exigences essentielles en matière d'interopérabilité. Les participants aux espaces de données qui offrent des données ou des services de données à d'autres participants, qui sont des entités facilitant ou participant au partage de données au sein des espaces européens communs de données, y compris les détenteurs de données, devraient se conformer à ces exigences dans la mesure où les éléments qu'ils contrôlent sont concernés. Le respect de ces règles peut être assuré par l'adhésion aux exigences essentielles énoncées dans le présent règlement ou présumé par le respect de normes harmonisées ou de spécifications communes grâce à une présomption de conformité. Afin de faciliter la conformité aux exigences d'interopérabilité, il est nécessaire de prévoir une présomption de conformité des solutions d'interopérabilité qui satisfont aux normes harmonisées ou à des parties de celles-ci conformément au règlement (UE) n° 1025/2012, qui représente le cadre par défaut pour élaborer des normes qui prévoient de telles présomptions. La Commission devrait évaluer les obstacles à l'interopérabilité et hiérarchiser les besoins de normalisation, sur la base desquels elle peut demander à un ou plusieurs organismes européens de normalisation, conformément au règlement (UE) n° 1025/2012, d'élaborer des normes harmonisées qui satisfont aux exigences essentielles énoncées dans le présent règlement. Lorsque ces demandes n'aboutissent pas à des normes harmonisées ou que ces normes harmonisées sont insuffisantes pour garantir la conformité avec les exigences essentielles du présent règlement, la Commission devrait pouvoir adopter des spécifications communes dans ces domaines, à condition que, ce faisant, elle respecte dûment le rôle et les fonctions des organismes de normalisation. Les spécifications communes ne devraient être adoptées qu'à titre de solution de repli exceptionnelle pour faciliter le respect des exigences essentielles du présent règlement, ou lorsque le processus de normalisation est bloqué, ou lorsqu'il y a des retards dans l'établissement de normes harmonisées appropriées. Lorsqu'un retard est dû à la complexité technique de la norme en question, la Commission doit en tenir compte avant d'envisager l'établissement de spécifications communes. Les spécifications communes devraient être élaborées de manière ouverte et inclusive et tenir compte, le cas échéant, de l'avis du Conseil européen de l'innovation en matière de données (EDIB) établi par le règlement (UE) 2022/868. En outre, des spécifications communes dans différents secteurs pourraient être adoptées, conformément au droit de l'Union ou au droit national, sur la base des besoins spécifiques de ces secteurs. En outre, la Commission devrait être habilitée à exiger l'élaboration de normes harmonisées pour l'interopérabilité des services de traitement des données.

(104) Pour promouvoir l'interopérabilité des outils d'exécution automatisée des accords de partage de données, il est nécessaire de définir des exigences essentielles pour les contrats intelligents que les professionnels créent pour d'autres ou intègrent dans des applications qui soutiennent la mise en œuvre d'accords de partage de données. Afin de faciliter la conformité de ces contrats intelligents avec ces exigences essentielles, il est nécessaire de prévoir une présomption de conformité des contrats intelligents qui satisfont aux normes harmonisées ou à des parties de celles-ci conformément au règlement (UE) no 1025/2012. La notion de "contrat intelligent" dans le présent règlement est technologiquement neutre. Les contrats intelligents peuvent, par exemple, être connectés à un grand livre électronique. Les exigences essentielles ne devraient s'appliquer qu'aux vendeurs de contrats intelligents, mais pas lorsqu'ils développent des contrats intelligents en interne exclusivement pour un usage interne. L'exigence essentielle de veiller à ce que les contrats intelligents puissent être interrompus et résiliés implique le consentement mutuel des parties à l'accord de partage des données. L'applicabilité des règles pertinentes du droit civil, du droit des contrats et du droit de la protection des consommateurs aux accords de partage de données reste ou devrait rester inchangée par l'utilisation de contrats intelligents pour l'exécution automatisée de ces accords.

(105) Pour démontrer le respect des exigences essentielles du présent règlement, le vendeur d'un contrat intelligent ou, à défaut, la personne dont l'activité commerciale ou professionnelle implique le déploiement de contrats intelligents pour d'autres dans le cadre de l'exécution d'un accord ou d'une partie de celui-ci, pour mettre des données à disposition dans le cadre du présent règlement, devrait procéder à une évaluation de la conformité et délivrer une déclaration UE de conformité. Cette évaluation de la conformité devrait être soumise aux principes généraux énoncés dans le règlement (CE) n° 765/2008 du Parlement européen et du Conseil (34) et dans la décision n° 768/2008/CE du Parlement européen et du Conseil (35).

(106) Outre l'obligation faite aux développeurs professionnels de contrats intelligents de se conformer aux exigences essentielles, il importe également d'encourager les participants aux espaces de données qui offrent des données ou des services fondés sur des données à d'autres participants au sein d'espaces de données européens communs et d'un espace à l'autre à soutenir l'interopérabilité des outils de partage de données, y compris les contrats intelligents.

(107) Afin d'assurer l'application et le respect du présent règlement, les États membres devraient désigner une ou plusieurs autorités compétentes. Si un État membre désigne plusieurs autorités compétentes, il doit également désigner parmi elles un coordinateur des données. Les autorités compétentes doivent coopérer entre elles. En exerçant leurs pouvoirs d'enquête conformément aux procédures nationales applicables, les autorités compétentes devraient être en mesure de rechercher et d'obtenir des informations, notamment en ce qui concerne les activités des entités relevant de leur compétence et, y compris dans le cadre d'enquêtes conjointes, en tenant dûment compte du fait que les mesures de contrôle et d'exécution concernant une entité relevant de la compétence d'un autre État membre devraient être adoptées par l'autorité compétente de cet autre État membre, le cas échéant, conformément aux procédures relatives à la coopération transfrontalière. Les autorités compétentes devraient se prêter mutuellement assistance en temps utile, notamment lorsqu'une autorité compétente d'un État membre détient des informations utiles pour une enquête menée par les autorités compétentes d'autres États membres, ou est en mesure de recueillir de telles informations auxquelles les autorités compétentes de l'État membre dans lequel l'entité est établie n'ont pas accès. Les autorités compétentes et les coordinateurs de données devraient être identifiés dans un registre public tenu par la Commission. Le coordinateur de données pourrait constituer un moyen supplémentaire de faciliter la coopération dans les situations transfrontalières, par exemple lorsqu'une autorité compétente d'un État membre donné ne sait pas à quelle autorité elle doit s'adresser dans l'État membre du coordinateur de données, par exemple lorsque l'affaire concerne plus d'une autorité compétente ou plus d'un secteur. Le coordinateur des données devrait notamment servir de point de contact unique pour toutes les questions liées à l'application du présent règlement. Lorsqu'aucun coordinateur des données n'a été désigné, l'autorité compétente doit assumer les tâches assignées au coordinateur des données en vertu du présent règlement. Les autorités chargées de veiller au respect de la législation sur la protection des données et les autorités compétentes désignées en vertu du droit de l'Union ou du droit national devraient être responsables de l'application du présent règlement dans leur domaine de compétence. Afin d'éviter les conflits d'intérêts, les autorités compétentes chargées de l'application et de l'exécution du présent règlement dans le domaine de la mise à disposition des données à la suite d'une demande fondée sur un besoin exceptionnel ne devraient pas bénéficier du droit de présenter une telle demande.

(108) Afin de faire respecter les droits que leur confère le présent règlement, les personnes physiques et morales devraient être habilitées à demander réparation pour les violations des droits que leur confère le présent règlement en déposant une plainte. Le coordinateur des données devrait, sur demande, fournir toutes les informations nécessaires aux personnes physiques et morales pour qu'elles puissent déposer leur plainte auprès de l'autorité compétente appropriée. Ces autorités devraient être tenues de coopérer pour faire en sorte qu'une réclamation soit traitée de manière appropriée et résolue efficacement et en temps utile. Afin d'utiliser le mécanisme du réseau de coopération en matière de protection des consommateurs et de permettre à l représentantReprésentant Une personne physique ou morale établie dans l'Union explicitement désignée pour agir au nom d'un prestataire de services DNS, d'un registre de noms TLD, d'une entité fournissant des services d'enregistrement de noms de domaine, d'un prestataire de services d'informatique en nuage, d'un prestataire de services de centre de données, d'un prestataire de réseaux de diffusion de contenu, d'un prestataire de services gérés, d'un prestataire de services de sécurité gérés, ou d'un fournisseur d'une place de marché en ligne, d'un moteur de recherche en ligne ou d'une plateforme de services de réseautage social qui n'est pas établi dans l'Union et qui peut être contacté par une autorité compétente ou un CSIRT à la place de l'entité elle-même en ce qui concerne les obligations qui incombent à cette entité en vertu de la présente directive. - Définition selon l'article 6 de la directive (UE) 2022/2555 (directive NIS2) actions, le présent règlement modifie les annexes du règlement (UE) 2017/2394 du Parlement européen et du Conseil (36) et de la directive (UE) 2020/1828 du Parlement européen et du Conseil (37).

(109) Les autorités compétentes doivent veiller à ce que les infractions aux obligations prévues par le présent règlement fassent l'objet de sanctions. Ces sanctions pourraient comprendre des sanctions financières, des avertissements, des blâmes ou des injonctions de mettre les pratiques commerciales en conformité avec les obligations imposées par le présent règlement. Les sanctions établies par les États membres devraient être efficaces, proportionnées et dissuasives, et devraient prendre en compte les recommandations de l'EDIB, contribuant ainsi à atteindre le plus haut niveau possible de cohérence dans l'établissement et l'application des sanctions. Le cas échéant, les autorités compétentes devraient recourir à des mesures provisoires pour limiter les effets d'une infraction présumée pendant que l'enquête sur cette infraction est en cours. Ce faisant, elles devraient tenir compte, entre autres, de la nature, de la gravité, de l'ampleur et de la durée de l'infraction au regard de l'intérêt public en jeu, de l'étendue et du type d'activités exercées, ainsi que de la capacité économique de l'auteur de l'infraction. Elles doivent également tenir compte du fait que la partie en infraction manque de manière systématique ou récurrente aux obligations qui lui incombent en vertu du présent règlement. Afin de garantir le respect du principe ne bis in idem, et notamment d'éviter que la même infraction aux obligations prévues par le présent règlement ne soit sanctionnée plus d'une fois, un État membre qui a l'intention d'exercer sa compétence à l'égard d'une partie en infraction qui n'est pas établie et n'a pas désigné de représentant légal dans l'Union devrait, dans les plus brefs délais, en informer tous les coordinateurs de données ainsi que la Commission.

(110) L'EDIB doit conseiller et aider la Commission à coordonner les pratiques et politiques nationales sur les sujets couverts par le présent règlement, ainsi qu'à atteindre ses objectifs en matière de normalisation technique afin d'améliorer l'interopérabilité. Il devrait également jouer un rôle clé en facilitant des discussions approfondies entre les autorités compétentes concernant l'application et la mise en œuvre du présent règlement. Cet échange d'informations vise à améliorer l'accès effectif à la justice ainsi que l'exécution et la coopération judiciaire dans l'ensemble de l'Union. Entre autres fonctions, les autorités compétentes devraient utiliser l'EDIB comme plateforme pour évaluer, coordonner et adopter des recommandations sur la fixation des sanctions pour les infractions au présent règlement. Il devrait permettre aux autorités compétentes, avec l'aide de la Commission, de coordonner l'approche optimale de la détermination et de l'imposition de ces sanctions. Cette approche permet d'éviter la fragmentation tout en laissant aux États membres une certaine marge de manœuvre et devrait déboucher sur des recommandations efficaces qui favorisent l'application cohérente du présent règlement. L'EDIB devrait également jouer un rôle consultatif dans les processus de normalisation et l'adoption de spécifications communes au moyen d'actes d'exécution, dans l'adoption d'actes délégués visant à établir un mécanisme de contrôle des frais de commutation imposés par les fournisseurs de services de traitement des données et à préciser les exigences essentielles pour l'interopérabilité des données, des mécanismes et des services de partage des données, ainsi que des espaces européens communs de données. Il devrait également conseiller et assister la Commission dans l'adoption des lignes directrices fixant les spécifications d'interopérabilité pour le fonctionnement des espaces européens communs de données.

(111) Afin d'aider les entreprises à rédiger et à négocier des contrats, la Commission devrait élaborer et recommander des clauses contractuelles types non contraignantes pour les contrats de partage de données entre entreprises, en tenant compte, le cas échéant, des conditions en vigueur dans des secteurs spécifiques et des pratiques existantes en matière de mécanismes volontaires de partage de données. Ces clauses contractuelles types devraient être avant tout un outil pratique destiné à aider, en particulier, les PME à conclure un contrat. Utilisées largement et intégralement, ces clauses contractuelles types devraient également avoir pour effet bénéfique d'influencer la conception des contrats relatifs à l'accès aux données et à leur utilisation, et donc de conduire plus largement à des relations contractuelles plus équitables lors de l'accès aux données et de leur partage.

(112) Afin d'éliminer le risque que les détenteurs de données contenues dans des bases de données obtenues ou générées au moyen de composants physiques, tels que des capteurs, d'un produit connecté et d'un service connexe ou d'autres données générées par des machines, revendiquent le droit sui generis au titre de l'article 7 de la directive 96/9/CE et, ce faisant, entravent notamment l'exercice effectif du droit des utilisateurs d'accéder aux données et de les utiliser, ainsi que du droit de partager des données avec des tiers en vertu du présent règlement, il convient de préciser que le droit sui generis ne s'applique pas à de telles bases de données. Cela n'affecte pas l'application éventuelle du droit sui generis en vertu de l'article 7 de la directive 96/9/CE aux bases de données contenant des données ne relevant pas du champ d'application du présent règlement, pour autant que les exigences de protection prévues au paragraphe 1 dudit article soient remplies.

(113) Afin de tenir compte des aspects techniques des services de traitement des données, il convient de déléguer à la Commission le pouvoir d'adopter des actes conformément à l'article 290 du TFUE en ce qui concerne le fait de compléter le présent règlement afin d'établir un mécanisme de contrôle des frais de commutation imposés par les fournisseurs de services de traitement des données sur le marché, et de préciser davantage les exigences essentielles en matière d'interopérabilité pour les participants aux espaces de données qui offrent des données ou des services de données à d'autres participants. Il est particulièrement important que la Commission procède à des consultations appropriées au cours de ses travaux préparatoires, y compris au niveau des experts, et que ces consultations soient menées conformément aux principes énoncés dans l'accord interinstitutionnel du 13 avril 2016 "Mieux légiférer" (38). En particulier, pour assurer une participation égale à la préparation des actes délégués, le Parlement européen et le Conseil reçoivent tous les documents en même temps que les experts des États membres, et leurs experts ont systématiquement accès aux réunions des groupes d'experts de la Commission chargés de la préparation des actes délégués.

(114) Afin d'assurer des conditions uniformes de mise en œuvre du présent règlement, il convient de conférer des compétences d'exécution à la Commission en ce qui concerne l'adoption de spécifications communes visant à assurer l'interopérabilité des données, des mécanismes et des services de partage des données, ainsi que des espaces européens communs de données, de spécifications communes sur l'interopérabilité des services de traitement des données et de spécifications communes sur l'interopérabilité des contrats intelligents. Il convient également de conférer des compétences d'exécution à la Commission aux fins de la publication des références des normes harmonisées et des spécifications communes pour l'interopérabilité des services de traitement des données dans un référentiel central de normes de l'Union pour l'interopérabilité des services de traitement des données. Ces compétences devraient être exercées conformément au règlement (UE) n° 182/2011 du Parlement européen et du Conseil (39).

(115) Le présent règlement ne doit pas porter atteinte aux règles visant à répondre aux besoins spécifiques de certains secteurs ou domaines d'intérêt public. Ces règles peuvent inclure des exigences supplémentaires concernant les aspects techniques de l'accès aux données, tels que les interfaces pour l'accès aux données, ou la manière dont l'accès aux données pourrait être fourni, par exemple directement à partir du produit ou par l'intermédiaire de services d'intermédiation de données. Ces règles peuvent également limiter les droits des détenteurs de données d'accéder aux données des utilisateurs ou de les utiliser, ou porter sur d'autres aspects au-delà de l'accès aux données et de leur utilisation, tels que les aspects liés à la gouvernance ou les exigences en matière de sécurité, y compris les exigences en matière de cybersécurité. Le présent règlement devrait également être sans préjudice de règles plus spécifiques dans le cadre du développement d'espaces européens communs de données ou, sous réserve des exceptions prévues par le présent règlement, du droit de l'Union et du droit national prévoyant l'accès aux données et autorisant leur utilisation à des fins de recherche scientifique.

(116) Le présent règlement ne doit pas affecter l'application des règles de concurrence, notamment les articles 101 et 102 du TFUE. Les mesures prévues par le présent règlement ne doivent pas être utilisées pour restreindre la concurrence d'une manière contraire au TFUE.

(117) Afin de permettre aux acteurs relevant du champ d'application du présent règlement de s'adapter aux nouvelles règles prévues par celui-ci et de prendre les dispositions techniques nécessaires, il convient que ces règles s'appliquent à partir du 12 septembre 2025.

(118) Le contrôleur européen de la protection des données et le comité européen de la protection des données ont été consultés conformément à l'article 42, paragraphes 1 et 2, du règlement (UE) 2018/1725 et ont rendu leur avis le 4 mai 2022.

(119) Étant donné que les objectifs du présent règlement, à savoir assurer une répartition équitable de la valeur des données entre les acteurs de l'économie des données et favoriser un accès équitable aux données et leur utilisation afin de contribuer à l'établissement d'un véritable marché intérieur des données, ne peuvent pas être réalisés de manière suffisante par les États membres mais peuvent plutôt, en raison des dimensions ou des effets de l'action et de l'utilisation transfrontalière des données, être mieux réalisés au niveau de l'Union, celle-ci peut prendre des mesures, conformément au principe de subsidiarité consacré à l'article 5 du traité sur l'Union européenne. Conformément au principe de proportionnalité tel qu'énoncé audit article, le présent règlement n'excède pas ce qui est nécessaire pour atteindre ces objectifs,

ONT ADOPTÉ CE RÈGLEMENT :