Skip to main content
Bâtir l’avenir numérique de l’Europe

Explication de la loi sur les données

Un aperçu complet de la législation sur les données, y compris ses objectifs et son fonctionnement dans la pratique.

Pourquoi la loi sur les données?

Le règlement sur les données est une loi destinée à renforcer l’économie des données de l’UE et à favoriser un marché des données concurrentiel en rendant les données (en particulier les données industrielles) plus accessibles et utilisables, en encourageant l’innovation fondée sur les données et en augmentant la disponibilité des données. À cette fin, le règlement sur les données garantit une répartition équitable de la valeur des données entre les acteurs de l’économie fondée sur les données. Il précise qui peut utiliser quelles données et dans quelles conditions. Pour de plus amples informations, veuillez consulter la FAQ relative à la législation sur les données.»

Ces dernières années, la disponibilité des produits connectés à l’internet («produits connectés») sur le marché européen a connu une croissance rapide. Ces produits, qui forment ensemble un réseau connu sous le nom d’internet des objets (IdO), augmentent considérablement le volume de données disponibles en vue d’une réutilisation dans l’UE. Cela représente un énorme potentiel d'innovation et de compétitivité dans l'UE.

La loi sur les données donne aux utilisateurs de produits connectés (entreprises ou particuliers qui possèdent, louent ou louent un tel produit) un plus grand contrôle sur les données qu’ils génèrent, tout en maintenant des incitations pour ceux qui investissent dans les technologies de données. En outre, il établit des conditions générales pour les situations dans lesquelles une entreprise a l'obligation légale de partager des données avec une autre entreprise.

Le règlement sur les données comprend également des mesures visant à renforcer l’équité et la concurrence sur le marché européen de l’informatique en nuage ainsi qu’à protéger les entreprises contre les clauses contractuelles abusives liées au partage de données imposées par des acteurs plus puissants. Elle établit également un mécanisme permettant aux organismes du secteur public de demander des données à une entreprise lorsqu’il existe un besoin exceptionnel, par exemple dans des situations d’urgence publique, et prévoit des règles claires sur la manière dont ces demandes devraient être présentées. En outre, elle introduit des garanties pour éviter que des organismes publics de pays tiers puissent accéder à des données à caractère non personnel lorsque cela irait à l’encontre du droit de l’Union ou du droit national. Enfin, le règlement sur les données définit des exigences essentielles en matière d’interopérabilité afin de garantir la fluidité des flux de données entre les secteurs et les États membres, facilitée par les espaces européens communs des données, ainsi qu’entre les fournisseurs de services de traitement des données. 

Le règlement sur les données a été publié au Journal officiel de l’UE le 22 décembre 2023 et sera applicable le 12 septembre 2025.

Le règlement sur les données complète l’acte sur la gouvernance des données, le premier élément livrable dans le cadre de la stratégie européenne pour les données. L’acte sur la gouvernance des données est entré en vigueur en septembre 2023. Alors que le règlement sur la gouvernance des données renforce la confiance dans les mécanismes volontaires de partage des données, le règlement sur les données apporte une clarté juridique en ce qui concerne l’accès aux données et leur utilisation.

Conjointement à d’autres mesures politiques et possibilités de financement, ces deux règlements contribueront à la mise en place d’un marché unique européen des données, faisant de l’Europe un chef de file de l’économie fondée sur les données en exploitant le potentiel des volumes toujours croissants de données, en particulier de données industrielles, au profit de l’économie et de la société européennes.

 

100%
0
Top

Questions abordées

Conformément aux dispositions générales (chapitre I) qui définissent le champ d’application du règlement et les termes clés, le règlement sur les données est structuré en six chapitres principaux: 

Chapitre II sur le partage de données entre entreprises et entre entreprises et consommateurs dans le contexte de l’internet des objets: les utilisateurs d’objets IoT peuvent accéder aux données qu’ils cogénèrent grâce à l’utilisation d’un produit connecté, les utiliser et les transférer.

Chapitre III sur le partage de données entre entreprises: cela clarifie les conditions de partage des données chaque fois qu’une entreprise est tenue par la loi, y compris par le biais du règlement sur les données, de partager des données avec une autre entreprise.

Chapitre IV sur les clauses contractuelles abusives: ces dispositions protègent toutes les entreprises, en particulier les PME, contre les clauses contractuelles abusives qui leur sont imposées.

Chapitre V sur le partage de données entre entreprises et administrations publiques: les organismes du secteur public seront en mesure de prendre des décisions plus fondées sur des données probantes dans certaines situations de besoin exceptionnel grâce à des mesures visant à accéder à certaines données détenues par le secteur privé.

Chapitre VI relatif au passage d'un service de traitement de données à un autre: les fournisseurs de services d’informatique en nuage et d’informatique en périphérie doivent satisfaire à des exigences minimales pour faciliter l’interopérabilité et permettre le changement de fournisseur.

Chapitre VII sur l’accès illicite des gouvernements de pays tiers aux données: les données à caractère non personnel stockées dans l’UE sont protégées contre les demandes d’accès illégales émanant de gouvernements étrangers.

Chapitre VIII sur l'interopérabilité: les participants aux espaces de données doivent satisfaire à des critères permettant aux données de circuler à l’intérieur des espaces de données et entre ceux-ci. Un répertoire de l’UE établira les normes et spécifications pertinentes pour l’interopérabilité de l’informatique en nuage.

Chapitre IX sur l'exécution: Les États membres doivent désigner une ou plusieurs autorités compétentes pour contrôler et faire appliquer le règlement sur les données. Lorsque plusieurs autorités sont désignées, un «coordinateur de données» doit être désigné pour servir de point de contact unique au niveau national.

100%
0
Top
The icon features a striking purple background that immediately draws the eye. At its center, a white database symbol stands out, composed of a cylindrical shape with horizontal lines that demarcate different sections, reminiscent of a classic data storage unit. Encircling this central figure are two arrows, one arching upwards and the other downwards, creating a sense of continuous movement. These arrows symbolize the dynamic process of data sharing in the context of the IoT market

Chapitre II: Partage de données d'entreprise à entreprise et d'entreprise à consommateur dans le contexte du marché de l'IoT

100%
0
Right

Pourquoi?

L’un des principaux objectifs du règlement sur les données est de créer de l’équité dans l’économie fondée sur les données et de permettre aux utilisateurs de tirer parti des données qu’ils génèrent à l’aide des produits connectés qu’ils possèdent, louent ou louent.

Le règlement sur les données permet aux utilisateurs de produits connectés (par exemple, voitures connectées, dispositifs médicaux et de remise en forme, machines industrielles ou agricoles) et de services connexes (c’est-à-dire tout ce qui permettrait à un produit connecté de se comporter d’une manière spécifique, comme une application permettant d’ajuster la luminosité des lumières ou de réguler la température d’un réfrigérateur) d’accéder aux données qu’ils cocréent en utilisant les produits connectés/services connexes.

La disponibilité de ces données aura un impact significatif sur l'économie. Par exemple, les données générées par les produits connectés et les services connexes peuvent être utilisées pour stimuler les services après-vente et les services auxiliaires ainsi que pour créer des services entièrement nouveaux, bénéficiant à la fois aux entreprises et aux consommateurs. 

Exemples de produits connectés: les produits de consommation (par exemple, les voitures connectées, les dispositifs de surveillance de la santé, les dispositifs de maison intelligente), d’autres produits (par exemple, les avions, les robots, les machines industrielles).

Exemple de service connexe: un utilisateur achète une machine à laver et installe une application qui lui permet de mesurer l'impact environnemental du cycle de lavage sur la base des données des différents capteurs à l'intérieur de la machine et ajuste le cycle en conséquence. Cette demande serait considérée comme un service connexe.

Exemples de services après-vente et de services auxiliaires: les services de réparation et d’entretien, l’assurance fondée sur les données.

Types de données entrant dans le champ d’application

Le chapitre II de la loi sur les données sur le partage de données entre entreprises et entre entreprises et consommateurs s’applique à toutes les données brutes et prétraitées générées par l’utilisation d’un produit connecté ou d’un service lié qui est facilement accessible au détenteur de données (par exemple, fabricant d’un produit connecté/fournisseur d’un service lié), c’est-à-dire des données qui peuvent être facilement accessibles sans effort disproportionné, allant au-delà d’une simple opération. Cela s'applique tant aux données à caractère personnel qu'aux données à caractère non personnel, y compris les métadonnées pertinentes.

Ces données comprennent les données collectées à partir d'un seul capteur ou d'un groupe connecté de capteurs, telles que la température, la pression, le débit, l'audio, la valeur du pH, le niveau de liquide, la position, l'accélération ou la vitesse.

Les données et le contenu inféré ou dérivé (par exemple, les données hautement enrichies, le matériel audiovisuel) ne relèvent pas du champ d’application. En outre, la loi sur les données est sans préjudice des lois sur la protection des droits de propriété intellectuelle.

Par exemple, si un utilisateur regarde un film sur son téléviseur connecté, le film lui-même n'est pas dans le champ d'application, mais les données sur la luminosité de l'écran sont dans le champ d'application.

Dans la pratique

Le chapitre II du règlement sur les données permet aux utilisateurs (c’est-à-dire toute personne physique ou morale qui possède, loue ou loue un produit connecté) d’accéder aux données qu’ils génèrent en utilisant le produit connecté ou le service lié. Si l’utilisateursouhaite partager ces données avec une autre entité ou une autre personne («tiers»), il peut le faire directement ou demander au détenteur de données de les partager avec un tiers de son choix (à l’exclusion des contrôleurs d’accèsau titre de la législation sur les marchés numériques). Le détenteur de données est généralement l'entreprise qui fabrique le produit connecté ou qui fournit un service connexe. Un détenteur de données doit avoir un contrat avec l’utilisateur (par exemple, un contrat de vente, un contrat de location, un contrat de service lié, etc.) définissant les droits d’accès, d’utilisation et de partage des données générées par le produit connecté ou le service lié. Il est important de noter que le détenteur de données ne peut utiliser aucune donnée à caractère non personnel générée par le produit sans l’accord de l’utilisateur.

À titre d’exemple, et en gardant à l’esprit que le contrat pertinent détermine les rôles exacts:

  • Une entreprise exploite un bulldozer: le détenteur des données serait généralement le fabricant du bulldozer et l’utilisateur serait l’entreprise qui exploite le bulldozer.  

  • Si quelqu'un achète un réfrigérateur connecté et télécharge une application qui l'aide à réguler la température optimale pour le contenu du réfrigérateur, il y aurait potentiellement deux détenteurs de données, à savoir l'entité qui a mis le réfrigérateur sur le marché et l'entité offrant le service connexe (l'application), et un seul utilisateur (le propriétaire du réfrigérateur).

La loi sur les données prévoit plusieurs mécanismes pour faciliter l’utilisation de ces dispositions par les utilisateurs: les détenteurs de données doivent fournir à l’utilisateur des informations sur le type de données qu’ils généreront lors de l’utilisation du produit connecté ou du service connexe (y compris le volume, la fréquence de collecte, etc.); les utilisateurs devraient pouvoir demander l’accès aux données au moyen d’un processus simple; et les détenteurs de données doivent mettre les données à la disposition des utilisateurs gratuitement.

Limitations de l'utilisation des données

Afin de ne pas dissuader les entreprises d’investir dans des produits générateurs de données, les données obtenues ne peuvent pas être utilisées pour développer un produit connecté concurrent. Le règlement sur les données n’interdit pas la concurrence dans les services connexes ou les services après-vente. En outre, le règlement sur les données n’oblige pas un détenteur de données à partager des données avec des tiers établis en dehors de l’UE.

Le règlement sur les données est pleinement conforme aux règles en matière de protection des données, notamment au RGPD. Lorsque l'utilisateur n'est pas la personne concernée dont les données sont demandées, les données à caractère personnel ne peuvent être mises à disposition que s'il existe une base juridique valable (par exemple, le consentement). Il s’agit d’une considération importante, étant donné que les données cogénérées contiennent souvent des données à caractère personnel et non personnel, qui peuvent être difficiles à séparer.  

Elle encourage le développement de produits et services connectés basés sur de nouveaux flux de données, ce qui revêt une valeur particulière pour les petites entreprises. En outre, les micro et petites entreprises, en tant que fabricants ou prestataires de services connexes, ne sont pas soumises aux mêmes obligations que les grandes entreprises.

Afin de protéger les secrets d’affaires sans compromettre l’objectif du règlement sur les données de rendre plus de données disponibles, le détenteur de données et l’utilisateur/le tiers peuvent convenir de certaines mesures visant à préserver la confidentialité des secrets d’affaires. Lorsque ces mesures ne sont pas respectées, le détenteur de données peut refuser ou suspendre le partage de données. Le détenteur de données ne peut refuser de partager des données que s’il peut démontrer qu’il est très susceptible de subir un préjudice économique grave du fait de la divulgation de secrets d’affaires.

Le détenteur de données et l’utilisateur peuvent convenir de limiter le partage de données s’il existe un risque que les exigences de sécurité du produit connecté soient compromises, entraînant des effets néfastes graves pour la santé, la sûreté ou la sécurité des personnes. Ces exigences doivent être prévues par le droit de l’Union ou le droit national.

Si le détenteur de données suspend, refuse ou refuse de partager des données pour des raisons de protection des secrets d’affaires ou de sécurité, il doit en informer l’autorité nationale compétente. Les utilisateurs peuvent contester une telle décision, soit devant la juridiction compétente d’un État membre, soit au moyen d’une réclamation auprès de l’autorité compétente, soit en accord avec le détenteur de données devant un organisme de règlement des litiges.

100%
0
Right
The image has a purple background. At the centre there is white triangle with an exclamation mark inside, which is a universal sign for a warning or alert. The triangle and exclamation mark are outlined in white. It symbolises the importance of rules in  business-to-business data sharing

Chapitre III: Règles relatives au partage obligatoire de données entre entreprises

100%
0
Right

Pourquoi?

Le règlement sur les données introduit des règles pour les situations dans lesquelles une entreprise («détenteur de données») est légalement tenue, en vertu du droit de l’Union ou du droit national, de mettre des données à la disposition d’une autre entreprise («destinataire de données»), y compris dans le contexte des données de l’IdO. En particulier, les modalités et conditions de partage des données doivent être équitables, raisonnables et non discriminatoires.

Afin d’encourager le partage de données, les détenteurs de données qui sont tenus de partager des données peuvent demander une «compensation raisonnable» au destinataire des données.

Types de données entrant dans le champ d’application

Le chapitre III de la loi sur les données s’applique à toutes les données (à caractère personnel et non personnel) détenues par une entreprise, y compris les situations couvertes par le chapitre II de la loi sur les données.

Dans la pratique

Les détenteurs de données peuvent demander une indemnisation raisonnable pour avoir mis les données à la disposition d’un destinataire de données. Cela pourrait inclure les coûts liés à la mise à disposition des données ainsi que les coûts techniques liés à la diffusion et au stockage. Toutefois, les microentreprises, les PME et les organismes de recherche à but non lucratif ne peuvent pas être facturés au-delà des coûts supportés pour la mise à disposition des données.

Afin de protéger les détenteurs de données, le règlement sur les données comprend une liste non exhaustive de mesures visant à remédier aux situations dans lesquelles un tiers ou un utilisateur a accédé ou utilisé illégalement des données. Par exemple, un détenteur de données pourrait exiger qu’une partie contrevenante cesse de produire le produit en question ou détruit les données qu’il a obtenues illégalement, ou il pourrait demander réparation.

Les obligations de partage de données antérieures à la loi sur les données restent inchangées. Les obligations de la future législation (sectorielle) devraient être alignées sur les dispositions du chapitre III de la loi sur les données.

100%
0
Right
icon featuring a purple circle with a white outline of two hands shaking. This symbolizes agreement, partnership, or contractual terms. The background is solid purple, and the white line drawing inside the circle shows detailed interlocking fingers, representing a handshake.

Chapitre IV: Clauses contractuelles abusives

100%
0
Right

Pourquoi?

La liberté contractuelle est au cœur des relations interentreprises. Toutefois, le règlement sur les données vise à protéger toutes les entreprises européennes qui cherchent à acquérir des données, en particulier les PME, contre les clauses contractuelles abusives grâce à ses mesures visant à intervenir dans des situations où, par exemple, l’une des entreprises est dans une position de négociation plus forte (par exemple en raison de sa taille de marché) et impose une clause non négociable («take-it-or-leave-it») liée à l’accès aux données et à leur utilisation.

Types de données entrant dans le champ d’application

Ces règles couvrent toutes les données, tant personnelles que non personnelles, détenues par une entité privée qui est consultée et utilisée sur la base d'un contrat entre entreprises.

Dans la pratique

Les clauses «à prendre ou à laisser» imposées unilatéralement peuvent, lorsqu’elles concernent la mise à disposition de données, faire l’objet d’un contrôle du caractère abusif.

La loi sur les données établit une liste non exhaustive de clauses qui sont toujours considérées comme abusives (par exemple, qui excluraient ou limiteraient la responsabilité de la partie qui a imposé unilatéralement la clause pour des actes intentionnels ou une négligence grave) et de clauses présumées abusives (par exemple, qui limiteraient de manière inappropriée les recours en cas de non-exécution d’obligations contractuelles ou de responsabilité en cas de violation de ces obligations, ou étendraient la responsabilité de l’entreprise à laquelle la clause a été imposée unilatéralement). Si une clause est considérée comme abusive, elle n’est plus valable – si possible, elle est simplement séparée du contact. S’il est présumé abusif, l’entité qui a imposé la clause peut tenter de démontrer que la clause n’est pas abusive.

100%
0
Right
icon representing a relation between government and business. It features a capitol style building and 2 files connected by a bi-directional arrow, set against a purple background. The design is simple and uses flat graphics with white outlines against a purple background.

Chapitre V: Partage de données entre entreprises et gouvernements

100%
0
Right

Pourquoi?

Les données détenues par des entités privées peuvent être essentielles pour qu’un organisme du secteur public entreprenne une mission d’intérêt public. Le chapitre V du règlement sur les données permet aux organismes du secteur public d’accéder à ces données, sous certaines conditions, lorsqu’il existe un besoin exceptionnel. Ce dernier fait référence à une situation imprévisible et limitée dans le temps, dans laquelle les données détenues par une entité privée sont nécessaires à l’exécution de la mission d’intérêt public, notamment pour améliorer la prise de décision fondée sur des données probantes. Les situations de besoin exceptionnel comprennent à la fois les urgences publiques (telles que les catastrophes naturelles ou d’origine humaine majeures, les pandémies et les incidents de cybersécurité) et les situations non urgentes (par exemple, les données agrégées et anonymisées des systèmes GPS des conducteurs pourraient être utilisées pour aider à optimiser les flux de trafic).

Le règlement sur les données garantira que les autorités publiques ont accès à ces données en temps utile et de manière fiable, sans imposer de charge administrative excessive aux entreprises.

Types de données entrant dans le champ d’application

Au titre du chapitre V, toutes les données relèvent du champ d’application, l’accent étant mis sur les données à caractère non personnel.

Le chapitre V du règlement sur les données relatif au partage de données entre entreprises et administrations publiques établit une distinction entre deux scénarios:

  • Afin de répondre à une urgence publique, un organisme du secteur public devrait demander des données à caractère non personnel. Toutefois, si cela est insuffisant pour répondre à la situation, des données personnelles peuvent être demandées. Dans la mesure du possible, ces données devraient être rendues anonymes par le détenteur des données.    

  • Dans les situations non urgentes, les organismes du secteur public ne peuvent demander que des données à caractère non personnel.

Principales parties prenantes

Les entités habilitées à demander des données comprennent les organismes du secteur public des États membres ainsi que certaines institutions, organes et agences de l’UE. Ces entités peuvent également partager les données avec des organismes de recherche et de financement sous certaines conditions.

Dans le contexte des demandes interentreprises, les détenteurs de données sont généralement des entités privées, mais peuvent également inclure des entreprises publiques.

Dans la pratique

Un organisme du secteur public peut, sous certaines conditions, obliger un détenteur de données à mettre à disposition certaines données sans retard injustifié pour répondre à une urgence publique. La loi sur les données définit une urgence publique; mais son existence est déterminée par des procédures ou des lois nationales ou européennes.

Pour des besoins exceptionnels qui ne sont pas liés à une urgence publique, un organisme du secteur public peut demander des données à caractère non personnel pour remplir une mission spécifique d’intérêt public qui a été prévue par la loi, si l’organisme du secteur public peut prouver qu’il n’a pas été en mesure d’accéder aux données par d’autres moyens.

Dans les deux cas (d’urgence et non d’urgence), les demandes doivent respecter un certain nombre de principes et de conditions stricts. Par exemple, les demandes doivent être spécifiques, transparentes et proportionnées, les secrets d’affaires doivent être protégés et les données doivent être supprimées dès qu’elles ne sont plus nécessaires.

Le tableau ci-dessous résume ce que les entreprises peuvent demander pour fournir des données à un organisme du secteur public dans ce contexte.

 

Compensation pour la mise à disposition de données au titre du chapitre V de la loi sur les données

  Les entreprises autres que les micro et petites entreprises peuvent demander: Les micro et petites entreprises peuvent demander:
Urgence publique Les entreprises peuvent demander que leur contribution en matière de données soit reconnue et publiquement reconnue par l’organisme du secteur public destinataire. Rémunération raisonnable ne dépassant pas les coûts techniques et organisationnels encourus + accusé de réception public, sur demande
Situation non urgente Rémunération raisonnable n'excédant pas les coûts techniques et organisationnels encourus (à l'exception de la production de statistiques officielles) S/O (exempté de l'obligation de fournir des données)

 

Afin de réduire au minimum la charge pesant sur les entreprises, les mêmes données ne peuvent pas être demandées plus d’une fois («principe d’une seule fois») par plus d’un organisme du secteur public. Pour cette raison, toutes les demandes doivent être rendues publiques par le coordinateur des données (sauf en cas de problème de sécurité).

100%
0
Right
 visual metaphor for switching between data processing services. It features a circular icon with two arrows, one pointing clockwise and the other counter-clockwise, forming a complete loop. This design symbolizes a continuous cycle or rotation, which aligns with the concept of transitioning or switching between different services in a seamless manner. The use of a solid purple background with white arrows provides a clear and simple representation of this process.

Chapitre VI: Passage d'un service de traitement de données à un autre

100%
0
Right

Pourquoi?

Afin de garantir un marché concurrentiel dans l'UE, les clients des services de traitement des données (y compris les services en nuage et les services périphériques) devraient pouvoir passer d'un fournisseur à un autre de manière transparente. Cependant, les clients sont actuellement confrontés à un certain nombre d'obstacles, notamment des frais élevés associés, par exemple, à la sortie de données, à des procédures longues et à un manque d'interopérabilité entre les fournisseurs pouvant entraîner une perte de données et d'applications.

La loi sur les données rendra la commutation libre, rapide et fluide. Cela profitera aux clients, qui peuvent choisir librement les services qui répondent le mieux à leurs besoins, ainsi qu'aux fournisseurs, qui bénéficieront d'un plus grand nombre de clients.

Champ d’application

Le chapitre VI du règlement sur les données s’applique aux fournisseurs de services de traitement des données (c’est-à-dire les services numériques permettant un accès omniprésent et à la demande au réseau, tels que les réseaux, les serveurs ou d’autres infrastructures et logiciels virtuels ou physiques). Les données essentielles au changement de fournisseur comprennent les données d’entrée et de sortie, y compris les métadonnées, générées par l’utilisation du service par le client, à l’exclusion des données protégées par des droits de propriété intellectuelle ou constituant un secret d’affaires du fournisseur de services.  

Dans la pratique

Afin de remédier au déséquilibre de pouvoir entre les fournisseurs et les clients sur le marché de l’informatique en nuage, le règlement sur les données fixe des exigences minimales pour le contenu des contrats d’informatique en nuage. En particulier, les clients des secteurs privé et public bénéficieront d'une plus grande transparence contractuelle.

Le règlement sur les données comprend des mesures visant à garantir que les clients peuvent passer d’un fournisseur de services de traitement de données (ci-après le «fournisseur source») à un autre fournisseur (ci-après le «destination») rapidement et sans heurts, et sans perdre aucune donnée ni la fonctionnalité des applications. Par exemple, les fournisseurs de plate-forme et de logiciel en tant que service doivent mettre à disposition des interfaces ouvertes et, au minimum, exporter les données dans un format couramment utilisé et lisible par machine. Les fournisseurs d’infrastructure en tant que service doivent prendre des mesures pour faire en sorte que, lorsqu’un client passe à un service du même type, le client obtienne des résultats matériellement comparables en réponse à la même entrée pour des fonctionnalités que les deux services partagent («équivalence fonctionnelle»). À titre d'exemple d'une telle mesure, le fournisseur source peut avoir à utiliser des outils pour déplacer les charges de travail informatiques d'une technologie de virtualisation à une autre. 

Tous les fournisseurs sont tenus de supprimer les obstacles auxquels leurs clients peuvent être confrontés lorsqu'ils souhaitent passer à un autre fournisseur ou utiliser plusieurs services en même temps.

La loi sur les données supprimera également entièrement les frais de changement de fournisseur, y compris les frais de sortie de données (c’est-à-dire les frais de transit de données), à partir du 12 janvier 2027. Cela signifie que les fournisseurs ne seront pas en mesure de facturer à leurs clients les opérations nécessaires pour faciliter le changement de fournisseur ou la sortie des données. Toutefois, à titre de mesure transitoire au cours des trois premières années suivant l’entrée en vigueur de la loi sur les données (du 11 janvier 2024 au 12 janvier 2027), les fournisseurs peuvent toujours facturer à leurs clients les coûts liés au changement de fournisseur et à la sortie des données.

100%
0
Right
The image you’ve provided depicts a stylized globe with a flag set against a purple background. This icon is designed to represent unlawful third country government access. The globe signifies the international aspect, while the flag stands for a specific third party or country involved in unauthorized access.

Chapitre VII: Accès illégal des gouvernements de pays tiers

100%
0
Right

Pourquoi?

Parfois, une décision ou un jugement rendu par un pays en dehors de l’UE («pays tiers») vise à permettre aux pouvoirs publics d’accéder aux données à caractère non personnel traitées et stockées au sein de l’UE et de les transférer. Toutefois, dans certains cas, l’octroi de l’accès à ces données ou leur transfert peut effectivement être illégal, en particulier lorsque la demande est contraire à la législation et aux garanties de l’Union en matière de protection des droits fondamentaux des personnes, des intérêts de sécurité nationale ou des données commercialement sensibles.

Le règlement sur les données suit l’acte sur la gouvernance des données en ce qui concerne les dispositions visant à empêcher l’accès et le transfert illégaux par les pouvoirs publics de pays tiers de données à caractère non personnel détenues dans l’UE. Ces dispositions n’ont aucune incidence sur le partage régulier de données entre entreprises. Elles renforcent la transparence et la sécurité juridique en ce qui concerne le processus et les conditions dans lesquels les données à caractère non personnel peuvent être consultées par des organes gouvernementaux de pays tiers ou transférées à ceux-ci.

Types de données entrant dans le champ d’application

Toute donnée à caractère non personnel détenue dans l’UE par un fournisseur d’un service de traitement des données.

Dans la pratique

Le règlement sur les données n’interdit pas les flux transfrontières de données, mais garantit que la protection accordée aux données dans l’UE voyage avec toutes les données transférées en dehors de l’UE.

Dans ce contexte, le règlement sur les données établit des règles et des garanties pour les demandes d’accès d’un organisme du secteur public étranger à des données à caractère non personnel détenues dans l’Union. Ces dispositions ne portent pas atteinte à la coopération internationale légitime en matière répressive.

En l’absence d’accord international réglementant l’accès d’un gouvernement d’un pays tiers à des données à caractère non personnel situées dans l’UE, les données ne peuvent être transférées ou consultées que dans des conditions spécifiques. Ces conditions font référence à certaines garanties garantissant les droits européens qui doivent être remplies par l’ordre juridique du pays tiers, y compris l’obligation d’exposer les motifs et d’évaluer la proportionnalité dans la décision. Le fournisseur de services de traitement de données visé par une telle décision peut contacter l’organisme national compétent pour l’aider à déterminer si les conditions énoncées dans le règlement sur les données sont remplies. Pour aider à évaluer si ces conditions ont été remplies, la Commission européenne élaborera des lignes directrices en collaboration avec le comité européen de l’innovation dans le domaine des données (un groupe d’experts créé en vertu de l’acte sur la gouvernance des données afin de faciliter le partage des bonnes pratiques et de donner la priorité aux normes d’interopérabilité intersectorielles).

Les fournisseurs de services de traitement des données devraient prendre toutes les mesures raisonnables (par exemple, cryptage, audits, respect des systèmes de certification) pour empêcher l’accès aux systèmes dans lesquels ils stockent des données à caractère non personnel. Ces mesures devraient être publiées sur leurs sites web. En outre, dans la mesure du possible, ils devraient informer leurs clients avant de leur donner accès à leurs données.

100%
0
Right
The image features a gear and an arrow forming a circle around it, set against a purple background. This icon represents Interoperability and is also associated with settings or configuration option with an update or refresh function. The design is clean and straightforward, using white symbols on a purple backdrop to convey the idea of adjusting settings or initiating a process to update or refresh data or services.

Chapitre VIII: Interopérabilité

100%
0
Right

Pourquoi?

Les normes et l’interopérabilité sont essentielles pour garantir que les données provenant de différentes sources peuvent être utilisées au sein des espaces européens communs de données et entre ceux-ci afin de favoriser la recherche et de développer de nouveaux produits ou services. À cette fin, le règlement sur les données établit certaines exigences essentielles auxquelles les participants aux espaces de données doivent se conformer et qui peuvent être précisées par la Commission européenne au moyen d’actes délégués.

Elle vise également à garantir l’interopérabilité entre les services de traitement des données; cela est essentiel si l'on veut que les clients puissent bénéficier d'un changement de fournisseur plus facile.

Principales parties prenantes

Ce chapitre s’adresse aux participants des espaces de données qui offrent des données ou des services fondés sur des données à d’autres participants et qui facilitent ou participent au partage de données au sein des espaces de données.

Il s'adresse également aux fournisseurs de contrats intelligents ainsi qu'aux fournisseurs de services de traitement de données.

Dans la pratique

Les participants à l’espace de données devraient se conformer à plusieurs exigences essentielles pour permettre aux données de circuler à l’intérieur des espaces de données et entre ceux-ci. Par exemple, une description des structures de données, des formats de données et des vocabulaires, lorsqu’ils sont disponibles, devrait être accessible au public. En outre, il convient d’assurer l’interopérabilité des accords de partage de données, tels que les contrats intelligents.

Le règlement sur les données prépare également le terrain pour accroître l’interopérabilité des services de traitement des données au moyen de normes harmonisées et de spécifications d’interopérabilité ouvertes.

En outre, il établit des exigences pour les fournisseurs de contrats intelligents pour l’exécution automatisée des accords de partage de données, par exemple pour s’assurer qu’ils appliquent correctement les dispositions de l’accord de partage de données et résistent à la manipulation par des tiers.

La Commission évaluera les obstacles à l’interopérabilité et hiérarchisera les besoins en matière de normalisation, sur la base desquels elle pourra demander à un ou plusieurs organismes européens de normalisation d’élaborer des normes harmonisées conformes aux exigences susmentionnées.

Si la demande n’aboutit pas à une norme harmonisée ou si la norme est insuffisante pour garantir la conformité avec le règlement sur les données, la Commission peut adopter des spécifications communes comme solution de secours. Ceux-ci devraient être élaborés de manière ouverte et inclusive, en tenant compte des retours d’information du comité européen de l’innovation dans le domaine des données.

100%
0
Right
The image is a purple icon featuring a white outline of a gavel above a book, symbolizing legal enforcement and overarching provisions. The design, with its simple and clear imagery, conveys the authority of law and the foundational role of legal documents in upholding it. The gavel poised above the book suggests the act of making a legal decision or the enforcement of laws.

Chapitre IX: Application et dispositions générales

100%
0
Right

Les États membres désigneront une ou plusieurs autorités compétentes (nouvelles ou existantes) pour assurer la mise en œuvre efficace du règlement sur les données. Lorsqu’il existe plusieurs autorités compétentes, les États membres doivent désigner l’une d’entre elles en tant que «coordinateur de données». Le coordinateur des données fera office de «guichet unique» pour toutes les questions liées à la mise en œuvre de la législation sur les données au niveau national, facilitant ainsi son application tant pour les entreprises que pour les autorités publiques. Par exemple, si une entreprise cherche à obtenir réparation pour la violation de ses droits au titre de la législation sur les données, le coordinateur des données devrait (sur demande) fournir toutes les informations nécessaires pour l’aider à introduire sa plainte auprès de l’autorité compétente appropriée. Le coordinateur des données facilitera également la collaboration dans les situations transfrontières, par exemple lorsqu’une autorité compétente d’un État membre donné ne sait pas quelle autorité elle devrait contacter dans l’État membre du coordinateur des données.

La Commission tiendra un registre public des autorités compétentes et des coordonnateurs de données.

Le comité européen de l’innovation dans le domaine des données facilitera les discussions entre les autorités compétentes, par exemple pour coordonner et adopter des recommandations sur la fixation de sanctions en cas d’infraction à la législation sur les données. Les sanctions sont fixées par les autorités compétentes et, conformément à la loi sur les données, il devrait y avoir des sanctions effectives, proportionnées et dissuasives.

Les États membres peuvent, s'ils le souhaitent, mettre en place des organismes certifiés de règlement des litiges pour aider les parties qui ne peuvent convenir de conditions équitables, raisonnables et non discriminatoires pour la mise à disposition des données. Les parties sont libres de s’adresser à tout organisme de règlement des différends, soit dans l’État membre dans lequel elles sont établies, soit dans un autre État membre.

Des mécanismes certifiés de règlement des litiges et des autorités compétentes spécialisées permettront aux entreprises, en particulier aux petites entreprises, de faire valoir plus facilement leurs droits au titre de la loi sur les données, car ils offrent une solution simple, rapide et peu coûteuse aux parties concernées.

100%
0
Right

Quelle est la prochaine étape?

La stratégie européenne pour les données définit la voie à suivre pour que l’UE devienne un chef de file dans l’économie fondée sur les données. Cet objectif sera atteint grâce à la création d’un marché unique européen des données, dans lequel les données pourront circuler entre les secteurs et les États membres de manière sûre et fiable, dans l’intérêt de l’économie et de la société. En garantissant l’équité dans la répartition de la valeur des données entre les parties prenantes, le règlement sur les données est un élément clé de la réalisation de cette vision.

Le règlement sur les données entrera en vigueur le 12 septembre 2025.

Pour aider les entreprises à naviguer dans ces nouvelles règles, la Commission recommandera un ensemble de clauses contractuelles types pour les aider à conclure des contrats de partage de données qui soient équitables, raisonnables et non discriminatoires (chapitres II et III du règlement sur les données). Ces conditions fourniront également des orientations sur l'indemnisation raisonnable et la protection des secrets d'affaires. La Commission recommandera également un ensemble de clauses contractuelles types non contraignantes pour les contrats d'informatique en nuage entre les utilisateurs et les fournisseurs de services d'informatique en nuage. Un groupe d’experts a été mis en place pour aider la Commission à rédiger ces termes et clauses et il prévoit de les recommander d’ici l’automne 2025.

Dans un délai de trois ans à compter de son entrée en application, la Commission procédera à une évaluation de l’incidence de la législation sur les données. Sur cette base, la Commission peut, le cas échéant, proposer une modification de la loi.  

100%
0
Top

Mentions légales

Ce document ne doit pas être considéré comme représentatif de la position officielle de la Commission européenne.

100%
0
Top