Une vue d’ensemble complète du règlement sur les données, y compris ses objectifs et son fonctionnement dans la pratique.
Pourquoi la loi sur les données?
Le règlement sur les données est une loi visant à renforcer l’économie des données de l’UE et à favoriser un marché des données compétitif en rendant les données (en particulier les données industrielles) plus accessibles et plus utilisables, en encourageant l’innovation fondée sur les données et en augmentant la disponibilité des données. À cette fin, le règlement sur les données garantit une répartition équitable de la valeur des données entre les acteurs de l’économie fondée sur les données. Il précise qui peut utiliser quelles données et dans quelles conditions. Pour des informations plus détaillées, veuillez consulter les questions fréquemment posées (FAQ) sur le règlement sur les données.
Ces dernières années, il y a eu une croissance rapide de la disponibilité des produits connectés à l’internet («produits connectés») sur le marché européen. Ces produits, qui forment ensemble un réseau connu sous le nom d'Internet des objets (IoT), augmentent considérablement le volume de données disponibles pour la réutilisation dans l'UE. Cela représente un énorme potentiel d'innovation et de compétitivité dans l'UE.
Le Data Act donne aux utilisateurs de produits connectés (entreprises ou particuliers qui possèdent, louent ou louent un tel produit) un meilleur contrôle sur les données qu'ils génèrent, tout en maintenant des incitations pour ceux qui investissent dans les technologies de données. En outre, il fixe des conditions générales pour les situations dans lesquelles une entreprise a l'obligation légale de partager des données avec une autre entreprise.
Le règlement sur les données comprend également des mesures visant à accroître l’équité et la concurrence sur le marché européen de l’informatique en nuage ainsi qu’à protéger les entreprises contre les clauses contractuelles abusives liées au partage de données imposées par des acteurs plus puissants. Elle établit également un mécanisme par lequel les organismes du secteur public peuvent demander des données à une entreprise lorsqu’il existe un besoin exceptionnel, par exemple dans des situations d’urgence publique, et prévoit des règles claires sur la manière dont ces demandes devraient être présentées. En outre, elle introduit des garanties pour éviter que des organismes gouvernementaux de pays tiers puissent accéder à des données à caractère non personnel lorsque cela irait à l’encontre du droit de l’Union ou du droit national. Enfin, le règlement sur les données définit des exigences essentielles en matière d’interopérabilité afin de garantir que les données puissent circuler sans discontinuité entre les secteurs et les États membres, facilitées par les espaces européens communs des données, ainsi qu’entre les prestataires de services de traitement de données.
Le règlement sur les données a été publié au Journal officiel de l’UE le 22 décembre 2023 et s’applique depuis le 12 septembre 2025.
Le règlement sur les données complète le règlement sur la gouvernance des données, qui est devenu applicable en septembre 2023. Alors que le règlement sur la gouvernance des données renforce la confiance dans les mécanismes volontaires de partage des données, le règlement sur les données apporte une clarté juridique en ce qui concerne l’accès aux données et leur utilisation.
Avec d’autres mesures politiques et possibilités de financement, ces deux règlements contribuent à la mise en place d’un marché unique européen des données. L’objectif est de faire de l’Europe un chef de file de l’économie fondée sur les données en exploitant le potentiel des quantités toujours croissantes de données, en particulier de données industrielles, au profit de l’économie et de la société européennes.
Questions traitées
Conformément aux dispositions générales (chapitre I) qui définissent le champ d’application du règlement et les termes clés, le règlement sur les données est structuré en six chapitres principaux:
Chapitre II sur le partage de données entre entreprises et entre entreprises et consommateurs dans le contexte de l’internet des objets: les utilisateurs d’objets IoT peuvent accéder aux données qu’ils cogénèrent grâce à l’utilisation d’un produit connecté, les utiliser et les porter.
Chapitre III sur le partage de données entre entreprises: cela clarifie les conditions de partage des données lorsqu’une entreprise est tenue par la loi, y compris par le règlement sur les données, de partager des données avec une autre entreprise.
Chapitre IV sur les clauses contractuelles abusives: ces dispositions protègent toutes les entreprises, en particulier les PME, contre les clauses contractuelles abusives qui leur sont imposées.
Chapitre V sur le partage de données entre entreprises et administrations publiques: les organismes du secteur public seront en mesure de prendre davantage de décisions fondées sur des données probantes dans certaines situations de besoin exceptionnel grâce à des mesures visant à accéder à certaines données détenues par le secteur privé.
Chapitre VI sur le passage d'un service de traitement de données à un autre: les fournisseurs de services d’informatique en nuage et de périphérie doivent satisfaire à des exigences minimales afin de faciliter l’interopérabilité et de permettre le changement de fournisseur.
Chapitre VII sur l’accès illégal des gouvernements de pays tiers aux données: les données à caractère non personnel stockées dans l’UE sont protégées contre les demandes d’accès illégales émanant de gouvernements étrangers.
Chapitre VIII sur l'interopérabilité: les participants aux espaces de données doivent remplir des critères permettant aux données de circuler à l’intérieur des espaces de données et entre ceux-ci. Un répertoire de l’UE établira les normes et spécifications pertinentes en matière d’interopérabilité dans l’informatique en nuage.
Chapitre IX sur l'exécution: Les États membres doivent désigner une ou plusieurs autorités compétentes pour contrôler et faire appliquer la législation sur les données. Lorsque plusieurs autorités sont désignées, un «coordinateur de données» doit être désigné pour agir en tant que point de contact unique au niveau national.
Chapitre II: Partage de données entre entreprises et entre entreprises et consommateurs dans le contexte du marché de l'IoT
Pourquoi?
L’un des principaux objectifs du règlement sur les données est de créer de l’équité dans l’économie fondée sur les données et de permettre aux utilisateurs de tirer parti des données qu’ils génèrent en utilisant les produits connectés qu’ils possèdent, louent ou louent.
Le règlement sur les données permet aux utilisateurs de produits connectés (par exemple, voitures connectées, dispositifs médicaux et de fitness, machines industrielles ou agricoles) et de services connexes (c’est-à-dire tout ce qui permettrait à un produit connecté de se comporter d’une manière spécifique, comme une application permettant d’ajuster la luminosité des lumières ou de réguler la température d’un réfrigérateur) d’accéder aux données qu’ils cocréent en utilisant les produits connectés/services connexes.
La disponibilité de ces données aura un impact significatif sur l'économie. Par exemple, les données générées par les produits connectés et les services connexes peuvent être utilisées pour stimuler les services après-vente et les services auxiliaires ainsi que pour créer des services entièrement nouveaux, au bénéfice des entreprises et des consommateurs.
Exemples de produits connectés: les produits de consommation (par exemple, les voitures connectées, les dispositifs de surveillance de la santé, les dispositifs pour maisons intelligentes), d’autres produits (par exemple, les avions, les robots, les machines industrielles).
Exemple de service connexe: un utilisateur achète une machine à laver et installe une application qui lui permet de mesurer l'impact environnemental du cycle de lavage sur la base des données des différents capteurs à l'intérieur de la machine et ajuste le cycle en conséquence. Cette demande serait considérée comme un service connexe.
Exemples de services après-vente et de services auxiliaires: services de réparation et d’entretien, assurance fondée sur les données.
Types de données entrant dans le champ d’application
Le chapitre II de la loi sur les données relatif au partage de données entre entreprises et entre entreprises et consommateurs s’applique à toutes les données brutes et prétraitées générées par l’utilisation d’un produit connecté ou d’un service connexe qui sont facilement accessibles au détenteur de données (par exemple, le fabricant d’un produit connecté/le fournisseur d’un service connexe), c’est-à-dire les données auxquelles il est facile d’accéder sans effort disproportionné, allant au-delà d’une simple opération. Cela s’applique aux données à caractère personnel et non personnel, y compris les métadonnées pertinentes.
Ces données comprennent les données recueillies à partir d'un seul capteur ou d'un groupe de capteurs connectés, telles que la température, la pression, le débit, l'audio, la valeur du pH, le niveau de liquide, la position, l'accélération ou la vitesse.
Les données et contenus inférés ou dérivés (par exemple, les données hautement enrichies, le matériel audiovisuel) ne sont pas couverts. En outre, la loi sur les données est sans préjudice des lois sur la protection des droits de propriété intellectuelle.
Par exemple, si un utilisateur regarde un film sur son téléviseur connecté, le film lui-même n'est pas dans le champ d'application, mais les données sur la luminosité de l'écran sont dans le champ d'application.
Dans la pratique
Le chapitre II de la loi sur les données permet aux utilisateurs (c’est-à-dire toute personne physique ou morale qui possède, loue ou loue un produit connecté) d’accéder aux données qu’ils génèrent en utilisant le produit connecté ou le service connexe. Si l’utilisateur souhaite partager ces données avec une autre entité ou une autre personne («tiers»),il peut soit le faire directement, soit demander au détenteur de données de les partager avec un tiers de son choix (à l’exclusion des contrôleurs d’accès au titre de la législation sur les marchés numériques). Le détenteur de données est généralement l'entreprise qui fabrique le produit connecté ou qui fournit un service connexe. Un détenteur de données doit avoir un contrat avec l’utilisateur (par exemple, un contrat de vente, un contrat de location, un contrat de service connexe, etc.) définissant les droits d’accès, d’utilisation et de partage des données générées par le produit connecté ou le service connexe. Il est important de noter que le détenteur de données ne peut utiliser aucune donnée à caractère non personnel générée par le produit sans l’accord de l’utilisateur.
À titre d’exemple, et en gardant à l’esprit que le contrat pertinent détermine les rôles exacts:
-
Une entreprise exploite un bulldozer: le détenteur des données serait généralement le fabricant du bulldozer, et l’utilisateur serait la société qui exploite le bulldozer.
-
Si quelqu'un achète un réfrigérateur connecté et télécharge une application qui l'aide à réguler la température optimale pour le contenu du réfrigérateur, il y aurait potentiellement deux détenteurs de données, à savoir l'entité qui a mis le réfrigérateur sur le marché et l'entité offrant le service connexe (l'application), et un seul utilisateur (le propriétaire du réfrigérateur).
La loi sur les données comprend plusieurs mécanismes visant à faciliter l’utilisation de ces dispositions par les utilisateurs: les détenteurs de données doivent fournir à l’utilisateur des informations sur le type de données qu’ils généreront lors de l’utilisation du produit connecté ou du service connexe (y compris le volume, la fréquence de collecte, etc.); les utilisateurs devraient pouvoir demander l’accès aux données au moyen d’un processus simple, et; les détenteurs de données doivent mettre les données à la disposition des utilisateurs gratuitement.
Limitations de l'utilisation des données
Afin de ne pas dissuader les entreprises d’investir dans des produits générateurs de données, les données obtenues ne peuvent pas être utilisées pour développer un produit connecté concurrent. Le règlement sur les données n’interdit pas la concurrence dans les services connexes ou les services après-vente. En outre, la loi sur les données n’oblige pas un détenteur de données à partager des données avec des tiers établis en dehors de l’UE.
Le règlement sur les données est pleinement conforme aux règles en matière de protection des données, notamment au RGPD. Lorsque l'utilisateur n'est pas la personne concernée dont les données sont demandées, les données à caractère personnel ne peuvent être mises à disposition que s'il existe une base juridique valable (par exemple, le consentement). Il s’agit d’une considération importante, étant donné que les données cogénérées contiennent souvent à la fois des données à caractère personnel et des données à caractère non personnel, qui peuvent être difficiles à séparer.
Il encourage le développement de produits et services connectés basés sur de nouveaux flux de données, ce qui est particulièrement utile pour les petites entreprises. En outre, les microentreprises et les petites entreprises, en tant que fabricants ou prestataires de services connexes, ne sont pas soumises aux mêmes obligations que les grandes entreprises.
Afin de protéger les secrets d’affaires sans porter atteinte à l’objectif de la législation sur les données de rendre davantage de données disponibles, le détenteur de données et l’utilisateur/le tiers peuvent convenir de certaines mesures visant à préserver la confidentialité des secrets d’affaires. Lorsque ces mesures ne sont pas respectées, le détenteur de données peut refuser ou suspendre le partage de données. Le détenteur de données ne peut refuser de partager des données que s’il peut démontrer qu’il est très susceptible de subir un préjudice économique grave du fait de la divulgation de secrets d’affaires.
Le détenteur de données et l’utilisateur peuvent convenir de limiter le partage de données s’il existe un risque que les exigences de sécurité du produit connecté soient compromises, ce qui aurait des effets néfastes graves sur la santé, la sûreté ou la sécurité des personnes. Ces exigences doivent être prévues par le droit de l’Union ou le droit national.
Si le détenteur de données suspend, retient ou refuse de partager des données en raison d’exigences en matière de protection des secrets d’affaires ou de sécurité, il doit en informer l’autorité nationale compétente. Les utilisateurs peuvent contester une telle décision, soit devant la juridiction compétente d’un État membre, au moyen d’une réclamation auprès de l’autorité compétente, soit après accord avec le détenteur de données devant un organe de règlement des litiges.
Chapitre III: Règles relatives au partage obligatoire de données entre entreprises
Pourquoi?
Le règlement sur les données introduit des règles pour les situations dans lesquelles une entreprise («détenteur de données») a l’obligation légale, en vertu du droit de l’Union ou du droit national, de mettre des données à la disposition d’une autre entreprise («destinataire de données»), y compris dans le contexte des données de l’internet des objets. En particulier, les modalités et conditions de partage des données doivent être équitables, raisonnables et non discriminatoires.
Afin d’encourager le partage de données, les détenteurs de données qui sont tenus de partager des données peuvent demander une «compensation raisonnable» au destinataire des données.
Types de données entrant dans le champ d’application
Le chapitre III de la loi sur les données s’applique à toutes les données (à caractère personnel et non personnel) détenues par une entreprise, y compris les situations couvertes par le chapitre II de la loi sur les données.
Dans la pratique
Les détenteurs de données peuvent demander une compensation raisonnable pour la mise à disposition des données à un destinataire de données. Cela pourrait inclure les coûts encourus pour la mise à disposition des données ainsi que les coûts techniques liés à la diffusion et au stockage. Toutefois, les microentreprises, les PME et les organismes de recherche à but non lucratif ne peuvent pas être facturés plus que les coûts encourus pour la mise à disposition des données.
Afin de protéger les détenteurs de données, le règlement sur les données comprend une liste non exhaustive de mesures visant à remédier aux situations dans lesquelles un tiers ou un utilisateur a illégalement accédé à des données ou les a utilisées. Par exemple, un détenteur de données pourrait exiger qu’une partie contrevenante cesse de produire le produit en question ou détruise les données qu’elle a obtenues illégalement, ou il pourrait demander réparation.
Les obligations de partage de données qui précèdent la loi sur les données ne sont pas affectées. Les obligations prévues par la future législation (sectorielle) devraient être alignées sur les dispositions du chapitre III du règlement sur les données.
Chapitre IV: Clauses contractuelles abusives
Pourquoi?
La liberté contractuelle est au cœur des relations interentreprises. Toutefois, le règlement sur les données vise à protéger toutes les entreprises européennes qui cherchent à acquérir des données, en particulier les PME, contre les clauses contractuelles abusives grâce à ses mesures visant à intervenir dans des situations où, par exemple, l’une des entreprises est dans une position de négociation plus forte (par exemple en raison de sa taille de marché) et impose une clause non négociable («prendre ou laisser») liée à l’accès aux données et à leur utilisation.
Types de données entrant dans le champ d’application
Ces règles couvrent toutes les données, tant personnelles que non personnelles, détenues par une entité privée qui est consultée et utilisée sur la base d'un contrat entre entreprises.
Dans la pratique
Les clauses à prendre ou à laisser imposées unilatéralement peuvent, lorsqu’elles ont trait à la mise à disposition de données, faire l’objet d’un test d’iniquité.
La loi sur les données établit une liste non exhaustive de clauses qui sont toujours considérées comme abusives (par exemple, qui excluraient ou limiteraient la responsabilité de la partie qui a imposé unilatéralement la clause pour des actes intentionnels ou une négligence grave) et de clauses présumées abusives (par exemple, qui limiteraient de manière inappropriée les recours en cas de non-exécution d’obligations contractuelles ou de responsabilité en cas de violation de ces obligations, ou étendraient la responsabilité de l’entreprise à laquelle la clause a été imposée unilatéralement). Si une clause est considérée comme abusive, elle n’est plus valable – dans la mesure du possible, elle est simplement dissociée du contrat. S'il est présumé abusif, l'entité qui a imposé la clause peut tenter de démontrer que la clause n'est pas abusive.
Chapitre V: Partage de données entre entreprises et administrations publiques
Pourquoi?
Les données détenues par des entités privées peuvent être essentielles pour qu’un organisme du secteur public entreprenne une mission d’intérêt public. Le chapitre V de la loi sur les données permet aux organismes du secteur public d’accéder à ces données, sous certaines conditions, lorsqu’il existe un besoin exceptionnel. Ce dernier fait référence à une situation imprévisible et limitée dans le temps, dans laquelle les données détenues par une entité privée sont nécessaires à l’exécution de la mission d’intérêt public, notamment pour améliorer la prise de décision fondée sur des données probantes. Les situations présentant un besoin exceptionnel comprennent à la fois les urgences publiques (telles que les catastrophes naturelles ou d’origine humaine majeures, les pandémies et les incidents de cybersécurité) et les situations non urgentes (par exemple, des données agrégées et anonymisées provenant des systèmes GPS des conducteurs pourraient être utilisées pour aider à optimiser les flux de trafic).
Le règlement sur les données garantira que les autorités publiques ont accès à ces données en temps utile et de manière fiable, sans imposer de charge administrative excessive aux entreprises.
Types de données entrant dans le champ d’application
Au titre du chapitre V, toutes les données entrent dans le champ d’application, l’accent étant mis sur les données à caractère non personnel.
Le chapitre V de la loi sur les données relatif au partage de données entre entreprises et administrations publiques distingue deux scénarios:
-
Afin de répondre à une urgence publique, un organisme du secteur public devrait demander des données à caractère non personnel. Toutefois, si cela est insuffisant pour répondre à la situation, des données personnelles peuvent être demandées. Dans la mesure du possible, ces données devraient être anonymisées par le détenteur de données.
-
Dans les situations non urgentes, les organismes du secteur public ne peuvent demander que des données à caractère non personnel.
Principales parties prenantes
Les entités habilitées à demander des données comprennent les organismes du secteur public des États membres ainsi que certaines institutions, organes et agences de l’UE. Ces entités peuvent également partager les données avec des organismes de recherche et de financement sous certaines conditions.
Dans le contexte des demandes interentreprises, les détenteurs de données sont généralement des entités privées, mais peuvent également inclure des entreprises publiques.
Dans la pratique
Un organisme du secteur public peut, sous certaines conditions, obliger un détenteur de données à mettre certaines données à disposition sans retard injustifié pour répondre à une urgence publique. La loi sur les données définit une urgence publique; mais son existence est déterminée conformément aux procédures ou à la législation nationales ou de l’UE.
Pour des besoins exceptionnels qui ne sont pas liés à une urgence publique, un organisme du secteur public peut demander des données à caractère non personnel pour accomplir une tâche spécifique qui est dans l’intérêt public et qui a été prévue par la loi, si l’organisme du secteur public peut prouver qu’il n’a pas été en mesure d’accéder aux données par d’autres moyens.
Dans les deux cas (urgence et non-urgence), les demandes doivent respecter un certain nombre de principes et de conditions stricts. Par exemple, les demandes doivent être spécifiques, transparentes et proportionnées, les secrets d’affaires doivent être protégés et les données doivent être supprimées une fois qu’elles ne sont plus nécessaires.
Le tableau ci-dessous résume ce que les entreprises peuvent demander pour fournir des données à un organisme du secteur public dans ce contexte.
Compensation pour la mise à disposition de données au titre du chapitre V de la loi sur les données
| Les entreprises autres que les micro et petites entreprises peuvent demander: | Les micro et petites entreprises peuvent demander: | |
| Urgence publique | Les entreprises peuvent demander que leur contribution aux données soit reconnue et publiquement reconnue par l’organisme du secteur public destinataire. | Rémunération raisonnable n'excédant pas les coûts techniques et organisationnels encourus + reconnaissance publique, sur demande |
| Situation non urgente | Rémunération raisonnable n’excédant pas les coûts techniques et organisationnels supportés (à l’exception de la production de statistiques officielles) | Sans objet (exempté de l’obligation de fournir des données) |
Afin de réduire au minimum la charge pesant sur les entreprises, les mêmes données ne peuvent pas être demandées plus d’une fois (principe «une fois pour toutes») par plus d’un organisme du secteur public. Pour cette raison, toutes les demandes doivent être rendues publiques par le coordinateur de données (sauf en cas de problème de sécurité).
Chapitre VI: Passage d'un service de traitement de données à un autre
Pourquoi?
Afin de garantir un marché concurrentiel dans l’UE, les clients de services de traitement de données (y compris les services en nuage et les services de périphérie) devraient pouvoir passer sans interruption d’un fournisseur à un autre. Cependant, les clients sont actuellement confrontés à un certain nombre d'obstacles, notamment des frais élevés liés, par exemple, à la sortie des données, à la longueur des procédures et au manque d'interopérabilité entre les fournisseurs, ce qui peut entraîner une perte de données et d'applications.
La loi sur les données rendra la commutation libre, rapide et fluide. Cela profitera aux clients, qui peuvent choisir librement les services qui répondent le mieux à leurs besoins, ainsi qu'aux fournisseurs, qui bénéficieront d'un plus grand bassin de clients.
Champ d'application
Le chapitre VI de la loi sur les données s’applique aux fournisseurs de services de traitement des données (c’est-à-dire les services numériques permettant un accès omniprésent et à la demande au réseau, tels que les réseaux, les serveurs ou d’autres infrastructures et logiciels virtuels ou physiques). Les données essentielles au changement de fournisseur comprennent les données d’entrée et de sortie, y compris les métadonnées, générées par l’utilisation du service par le client, à l’exclusion des données protégées par des droits de propriété intellectuelle ou constituant un secret d’affaires du fournisseur de services.
Dans la pratique
Afin de surmonter le déséquilibre de pouvoir entre les fournisseurs et les clients sur le marché de l’informatique en nuage, le règlement sur les données fixe des exigences minimales pour le contenu des contrats en nuage. En particulier, les clients des secteurs privé et public bénéficieront d'une transparence contractuelle beaucoup plus grande.
Le règlement sur les données comprend des mesures visant à garantir que les clients peuvent passer d’un fournisseur de services de traitement de données («fournisseur source») à un autre fournisseur («destination») rapidement et en douceur, sans perdre aucune donnée ni la fonctionnalité des applications. Par exemple, les fournisseurs de plate-forme et de logiciel en tant que service doivent mettre à disposition des interfaces ouvertes et, au minimum, exporter des données dans un format couramment utilisé et lisible par machine. Les fournisseurs d’infrastructure en tant que service doivent prendre des mesures pour que, lorsqu’un client passe à un service du même type, il obtienne des résultats sensiblement comparables en réponse à la même entrée pour les caractéristiques partagées par les deux services («équivalence fonctionnelle»). À titre d'exemple d'une telle mesure, le fournisseur source peut avoir à utiliser des outils pour déplacer les charges de travail informatiques d'une technologie de virtualisation à une autre.
Tous les fournisseurs sont tenus de supprimer les obstacles auxquels leurs clients peuvent être confrontés lorsqu'ils souhaitent passer à un autre fournisseur ou utiliser plusieurs services en même temps.
Le règlement sur les données supprimera également entièrement les frais de changement de fournisseur, y compris les frais de sortie des données (c’est-à-dire les frais de transit des données), à compter du 12 janvier 2027. Cela signifie que les fournisseurs ne seront pas en mesure de facturer à leurs clients les opérations nécessaires pour faciliter le changement de fournisseur ou la sortie des données. Toutefois, à titre de mesure transitoire pendant les trois premières années suivant l’entrée en vigueur de la loi sur les données (du 11 janvier 2024 au 12 janvier 2027), les fournisseurs peuvent toujours facturer à leurs clients les coûts liés au changement de fournisseur et à la sortie des données.
Chapitre VII: Accès illégal des gouvernements de pays tiers
Pourquoi?
Parfois, une décision ou un jugement rendu par un pays en dehors de l’UE (ci-après un «pays tiers») vise à permettre aux pouvoirs publics d’accéder aux données à caractère non personnel traitées et stockées dans l’UE et de les transférer. Toutefois, dans certains cas, l’octroi de l’accès à ces données ou leur transfert peuvent effectivement être illicites, en particulier lorsque la demande est contraire au droit de l’Union et aux garanties relatives à la protection des droits fondamentaux des personnes, aux intérêts de la sécurité nationale ou aux données commercialement sensibles.
Le règlement sur les données suit le règlement sur la gouvernance des données en ce qui concerne les dispositions visant à prévenir l’accès illégal des gouvernements de pays tiers et le transfert de données à caractère non personnel détenues dans l’UE. Ces dispositions n’ont aucune incidence sur le partage régulier de données entre entreprises. Elles renforcent la transparence et la sécurité juridique en ce qui concerne le processus et les conditions dans lesquels les données à caractère non personnel peuvent être consultées par des organismes gouvernementaux de pays tiers ou transférées à ceux-ci.
Types de données entrant dans le champ d’application
Toute donnée à caractère non personnel détenue dans l’UE par un fournisseur de services de traitement de données.
Dans la pratique
Le règlement sur les données n’interdit pas les flux de données transfrontaliers, mais garantit que la protection accordée aux données dans l’UE voyage avec toutes les données transférées en dehors de l’UE.
Dans ce contexte, le règlement sur les données établit des règles et des garanties pour les demandes d’accès d’un organisme étranger du secteur public à des données à caractère non personnel détenues dans l’Union. La coopération internationale légitime en matière d'application de la loi n'est pas affectée par ces dispositions.
S'il n'existe pas d'accord international réglementant l'accès d'un gouvernement d'un pays tiers à des données à caractère non personnel situées dans l'UE, les données ne peuvent être transférées ou consultées que dans des conditions spécifiques. Ces conditions font référence à certaines garanties protégeant les droits européens qui doivent être remplies par le système juridique du pays tiers, y compris l’obligation d’exposer les motifs et d’évaluer la proportionnalité dans la décision. Le fournisseur de services de traitement des données visé par une telle décision peut contacter l’organisme national compétent pour l’aider à évaluer si les conditions énoncées dans la législation sur les données sont remplies. Pour aider à évaluer si ces conditions sont remplies, la Commission européenne élaborera des lignes directrices en collaboration avec le comité européen de l’innovation dans le domaine des données (un groupe d’experts créé en vertu de l’acte sur la gouvernance des données afin de faciliter le partage des bonnes pratiques et de donner la priorité aux normes d’interopérabilité intersectorielles).
Les fournisseurs de services de traitement des données devraient prendre toutes les mesures raisonnables (par exemple, cryptage, audits, respect des systèmes de certification) pour empêcher l’accès aux systèmes dans lesquels ils stockent des données à caractère non personnel. Ces mesures devraient être publiées sur leurs sites web. En outre, dans la mesure du possible, ils devraient informer leurs clients avant de donner accès à leurs données.
Chapitre VIII: Interopérabilité
Pourquoi?
Les normes et l’interopérabilité sont essentielles pour garantir que les données provenant de différentes sources peuvent être utilisées dans et entre les espaces européens communs des données afin de favoriser la recherche et de développer de nouveaux produits ou services. À cette fin, le règlement sur les données établit certaines exigences essentielles auxquelles les participants aux espaces de données doivent se conformer et qui peuvent être précisées par la Commission européenne au moyen d’actes délégués.
Elle vise également à assurer l’interopérabilité entre les services de traitement des données; cela est essentiel si l'on veut que les clients bénéficient d'un changement de fournisseur plus facile.
Principales parties prenantes
Le présent chapitre s’adresse aux participants des espaces de données qui offrent des données ou des services fondés sur des données à d’autres participants et qui facilitent ou participent au partage de données au sein des espaces de données.
Il s'adresse également aux fournisseurs de contrats intelligents ainsi qu'aux fournisseurs de services de traitement de données.
Dans la pratique
Les participants à l’espace de données devraient se conformer à plusieurs exigences essentielles pour permettre aux données de circuler à l’intérieur des espaces de données et entre ceux-ci. Par exemple, une description des structures de données, des formats de données et des vocabulaires, le cas échéant, devrait être accessible au public. En outre, il convient de garantir les moyens d’assurer l’interopérabilité des accords de partage de données, tels que les contrats intelligents.
Le règlement sur les données prépare également le terrain pour accroître l’interopérabilité des services de traitement des données au moyen de normes harmonisées et de spécifications d’interopérabilité ouvertes.
En outre, il établit des exigences pour les vendeurs de contrats intelligents pour l’exécution automatisée d’accords de partage de données, par exemple pour s’assurer qu’ils appliquent correctement les dispositions de l’accord de partage de données et résistent à la manipulation par des tiers.
La Commission évaluera les obstacles à l’interopérabilité et donnera la priorité aux besoins en matière de normalisation, sur la base desquels elle pourra demander aux organisations européennes de normalisation d’élaborer des normes harmonisées conformes aux exigences susmentionnées.
Si la demande n’aboutit pas à une norme harmonisée ou si la norme est insuffisante pour garantir la conformité avec le règlement sur les données, la Commission peut adopter des spécifications communes comme solution de repli. Ceux-ci devraient être élaborés de manière ouverte et inclusive, en tenant compte du retour d’information du comité européen de l’innovation dans le domaine des données.
Chapitre IX: Application et dispositions générales
Les États membres désigneront une ou plusieurs autorités compétentes (nouvelles ou existantes) pour assurer la mise en œuvre efficace de la législation sur les données. Lorsqu’il existe plusieurs autorités compétentes, les États membres doivent désigner l’une d’entre elles en tant que «coordinateur de données». Le coordinateur des données fera office de «guichet unique» pour toutes les questions liées à la mise en œuvre de la législation sur les données au niveau national, facilitant ainsi l’application tant pour les entreprises que pour les pouvoirs publics. Par exemple, si une entreprise demande réparation pour la violation de ses droits en vertu du règlement sur les données, le coordinateur de données devrait (sur demande) fournir toutes les informations nécessaires pour l’aider à déposer sa plainte auprès de l’autorité compétente appropriée. Le coordinateur de données facilitera également la collaboration dans les situations transfrontières, par exemple lorsqu’une autorité compétente d’un État membre donné ne sait pas à quelle autorité elle devrait s’adresser dans l’État membre du coordinateur de données.
La Commission tiendra un registre public des autorités compétentes et des coordinateurs de données.
Le comité européen de l’innovation dans le domaine des données facilitera les discussions entre les autorités compétentes, par exemple pour coordonner et adopter des recommandations sur la fixation de sanctions en cas d’infraction à la législation sur les données. Les sanctions sont fixées par les autorités compétentes et, conformément à la loi sur les données, il devrait y avoir des sanctions effectives, proportionnées et dissuasives.
Les États membres peuvent, s'ils le souhaitent, mettre en place des organismes certifiés de règlement des litiges afin d'aider les parties qui ne parviennent pas à s'entendre sur des conditions équitables, raisonnables et non discriminatoires pour la mise à disposition des données. Les parties sont libres de s’adresser à tout organisme de règlement des différends, soit dans l’État membre dans lequel elles sont établies, soit dans un autre.
Des mécanismes certifiés de règlement des litiges et des autorités compétentes spécialisées permettront aux entreprises, en particulier aux petites entreprises, de faire valoir plus facilement leurs droits au titre du règlement sur les données, car ils offrent une solution simple, rapide et peu coûteuse aux parties concernées.
Soutenir la mise en œuvre du règlement sur les données
Le règlement sur les données s’applique depuis le 12 septembre 2025. Pour aider les entreprises à naviguer dans ces nouvelles règles, la Commission a publié:
- Foire aux questions (FAQ) sur la loi sur les données
- Projet de recommandation sur les clauses contractuelles types non contraignantes pour l’accès aux données et leur utilisation (MCT) et les clauses contractuelles types non contraignantes pour les contrats d’informatique en nuage (SCC)
- Orientations sur les données relatives aux véhicules, accompagnant le règlement sur les données
À l’avenir, la Commission publiera des orientations sur la compensation raisonnable pour le partage obligatoire de données entre entreprises dans le cadre du chapitre III de la législation sur les données.
En s’appuyant sur les documents d’orientation déjà publiés, le service d’assistance juridique sur la législation sur les données lancé offre aux parties prenantes des orientations concrètes sur les questions juridiques liées à la législation sur les données.
Dans l’omnibus numérique, la Commission propose des modifications spécifiques de la législation sur les données afin d’apporter un soulagement immédiat aux entreprises, aux administrations publiques et aux citoyens, et de stimuler la compétitivité.
Dans les trois ans suivant son entrée en application, la Commission procédera à une évaluation de l’incidence du règlement sur les données. Sur cette base, la Commission peut, au besoin, proposer une modification à la Loi.
Mentions légales
Ce document ne doit pas être considéré comme représentatif de la position officielle de la Commission européenne.