Une vue d’ensemble complète de la loi sur les données, y compris ses objectifs et son fonctionnement dans la pratique.
Pourquoi la loi sur les données?
La loi sur les données est une loi visant à renforcer l’économie des données de l’UE et à favoriser un marché concurrentiel des données en rendant les données (en particulier les données industrielles) plus accessibles et utilisables, en encourageant l’innovation fondée sur les données et en augmentant la disponibilité des données. Pour ce faire, la loi sur les données garantit l’équité dans la répartition de la valeur des données entre les acteurs de l’économie des données. Il précise qui peut utiliser quelles données et dans quelles conditions.
Ces dernières années, la disponibilité des produits connectés à l’internet («produits connectés») sur le marché européen a connu une croissance rapide. Ces produits, qui composent ensemble un réseau connu sous le nom d’Internet des objets (IdO), augmentent considérablement le volume de données disponibles pour la réutilisation dans l’UE. Cela représente un énorme potentiel d’innovation et de compétitivité dans l’UE.
La loi sur les données donne aux utilisateurs de produits connectés (entreprises ou particuliers qui possèdent, louent ou louent un tel produit) un plus grand contrôle sur les données qu’ils génèrent, tout en maintenant des incitations pour ceux qui investissent dans les technologies de données. En outre, elle fixe des conditions générales pour les situations dans lesquelles une entreprise a l’obligation légale de partager des données avec une autre entreprise.
La loi sur les données comprend également des mesures visant à accroître l’équité et la concurrence sur le marché européen de l’informatique en nuage et à protéger les entreprises contre les clauses contractuelles abusives liées au partage des données imposées par des acteurs plus forts. Il met également en place un mécanisme permettant aux organismes du secteur public de demander des données à une entreprise où il existe un besoin exceptionnel, par exemple dans des situations d’urgence publique, et prévoit des règles claires sur la manière dont ces demandes devraient être formulées. En outre, il introduit des garanties pour éviter que les organismes gouvernementaux de pays tiers puissent accéder à des données à caractère non personnel lorsque cela irait à l’encontre du droit de l’Union ou du droit national. Enfin, la loi sur les données définit des exigences essentielles en matière d’interopérabilité afin de garantir que les données puissent circuler de manière transparente entre les secteurs et les États membres, facilitées par les espaces européens communs de données, ainsi qu’entre les fournisseurs de services de traitement des données.
La loi sur les données a été publiée au Journal officiel de l’UE le 22 décembre 2023 et sera applicable le 12 septembre 2025.
La loi sur les données complète la loi sur la gouvernance des données, qui est le premier élément à fournir dans le cadre de la stratégie européenne pour les données. La loi sur la gouvernance des données est entrée en vigueur en septembre 2023. Bien que la loi sur la gouvernance des données renforce la confiance dans les mécanismes volontaires de partage des données, la loi sur les données apporte une clarté juridique en ce qui concerne l’accès aux données et leur utilisation.
Avec d’autres mesures politiques et possibilités de financement, ces deux règlements contribueront à la mise en place d’un marché unique européen des données, faisant de l’Europe un chef de file dans l’économie des données en exploitant le potentiel des quantités toujours croissantes de données, en particulier de données industrielles, au profit de l’économie et de la société européennes.
Questions abordées
Conformément aux dispositions générales (chapitre I) qui définissent le champ d’application du règlement et définissent des termes clés, la loi sur les données est structurée en six chapitres principaux:
Chapitre II sur le partage des données entre entreprises et entre entreprises et consommateurs dans le contexte de l’IoT: les utilisateurs d’objets IoT peuvent accéder, utiliser et transférer des données qu’ils cogénérent grâce à leur utilisation d’un produit connecté.
Chapitre III sur le partage des données interentreprises: cela clarifie les conditions de partage des données partout où une entreprise est tenue par la loi, y compris par le biais de la loi sur les données, de partager des données avec une autre entreprise.
Chapitre IV sur les clauses contractuelles abusives: ces dispositions protègent toutes les entreprises, en particulier les PME, contre les clauses contractuelles abusives qui leur sont imposées.
Chapitre V sur le partage des données entre les administrations publiques: les organismes du secteur public seront en mesure de prendre davantage de décisions fondées sur des données probantes dans certaines situations de nécessité exceptionnelle en prenant des mesures pour accéder à certaines données détenues par le secteur privé.
Chapitre VI sur le passage d’un service de traitement de données à l’ autre: les fournisseurs de services d’informatique en nuage et de périphérie doivent satisfaire aux exigences minimales pour faciliter l’interopérabilité et permettre la commutation.
Chapitre VII relatif à l’accès illicite des gouvernements des pays tiers aux données: les données à caractère non personnel stockées dans l’UE sont protégées contre les demandes d’accès illégales d’un gouvernement étranger.
Chapitre VIII relatif à l’interopérabilité: les participants aux espaces de données doivent remplir des critères pour permettre aux données de circuler à l’intérieur et entre les espaces de données. Un répertoire de l’UE établira des normes et des spécifications pertinentes pour l’interopérabilité en nuage.
Chapitre IX sur l’exécution: Les États membres doivent désigner une ou plusieurs autorités compétentes pour surveiller et appliquer la loi sur les données. Lorsque plusieurs autorités sont désignées, un «coordonnateur des données» doit être désigné pour servir de point de contact unique au niveau national.
Chapitre II: Partage de données entre entreprises et entre entreprises et consommateurs dans le contexte du marché de l’IoT
Pourquoi?
Un objectif clé de la loi sur les données est de créer l’équité dans l’économie des données et de permettre aux utilisateurs de récolter de la valeur à partir des données qu’ils génèrent en utilisant les produits connectés qu’ils possèdent, louent ou louent.
La loi sur les données permet aux utilisateurs de produits connectés (par exemple, voitures connectées, dispositifs médicaux et de conditionnement physique, machines industrielles ou agricoles) et de services connexes (c’est-à-dire tout ce qui ferait qu’un produit connecté se comporte d’une manière spécifique, comme une application pour ajuster la luminosité des lumières, ou de réguler la température d’un réfrigérateur) d’accéder aux données qu’ils co-créent en utilisant les produits connectés/services connexes.
La disponibilité de ces données aura un impact significatif sur l’économie. Par exemple, les données générées par les produits connectés et les services connexes peuvent être utilisées pour stimuler le marché secondaire et les services auxiliaires ainsi que pour créer des services entièrement nouveaux, au bénéfice des entreprises et des consommateurs.
Exemples de produits connectés: les produits de consommation (par exemple, les voitures connectées, les dispositifs de surveillance de la santé, les appareils domestiques intelligents), d’autres produits (par exemple, avions, robots, machines industrielles).
Exemple d’un service connexe: un utilisateur achète une machine à laver et installe une application qui lui permet de mesurer l’impact environnemental du cycle de lavage en fonction des données des différents capteurs à l’intérieur de la machine et ajuste le cycle en conséquence. Cette demande serait considérée comme un service connexe.
Exemples de services auxiliaires et d’après-vente: services de réparation et d’entretien, assurance basée sur les données.
Types de données dans le champ d’application
Le chapitre II de la loi sur les données sur le partage des données interentreprises et entre entreprises et consommateurs s’applique à toutes les données brutes et prétraitées générées par l’utilisation d’un produit connecté ou d’un service connexe qui sont facilement accessibles au détenteur des données (par exemple, le fabricant d’un produit connecté/fournisseur d’un service connexe), c’est -à-dire des données facilement accessibles sans effort disproportionné, allant au-delà d’une simple opération. Cela s’applique à la fois aux données personnelles et non personnelles, y compris aux métadonnées pertinentes.
Ces données comprennent les données recueillies à partir d’un seul capteur ou d’un groupe de capteurs connectés, telles que la température, la pression, le débit, l’audio, la valeur du pH, le niveau de liquide, la position, l’accélération ou la vitesse.
Les données et contenus inférés ou dérivés (par exemple, les données hautement enrichies, le matériel audiovisuel) sont hors de portée. En outre, la loi sur les données est sans préjudice des lois sur la protection des droits de propriété intellectuelle.
Par exemple, si un utilisateur regarde un film sur son téléviseur connecté, le film lui-même n’est pas dans la portée, mais les données sur la luminosité de l’écran sont dans la portée.
Dans la pratique
Le chapitre II de la loi sur les données permet aux utilisateurs (c’est-à-dire toute personne physique ou morale qui possède, loue ou loue un produit connecté) d’accéder aux données qu’ils génèrent en utilisant le produit connecté ou le service connexe. Si l’utilisateur souhaite partager ces données avec une autre entité ou un particulier («tiers»), il peut le faire directement ou demander au détenteur des données de les partager avec un tiers de son choix (à l’exclusion des contrôleurs d’accès en vertu de la législation sur les marchés numériques). Le détenteur des données est généralement l’entreprise qui fabrique le produit connecté ou qui fournit un service connexe. Un titulaire de données doit avoir un contrat avec l’utilisateur (par exemple, contrat de vente, contrat de location, contrat de service connexe, etc.) définissant les droits concernant l’accès, l’utilisation et le partage des données générées par le produit connecté ou le service associé. Il est important de noter que le détenteur des données ne peut pas utiliser les données non personnelles générées par le produit sans l’accord de l’utilisateur.
À titre d’exemple, et en gardant à l’esprit que le contrat pertinent détermine les rôles exacts:
-
Une entreprise exploite un bulldozer: le détenteur des données serait généralement le fabricant du bulldozer, et l’utilisateur serait la société qui exploite le bulldozer.
-
Si quelqu’un achète un réfrigérateur connecté et télécharge une application qui l’aide à réguler la température optimale pour le contenu du réfrigérateur, il y aurait potentiellement deux détenteurs de données, à savoir l’entité qui a mis le réfrigérateur sur le marché et l’entité offrant le service associé (l’application), et seulement le seul utilisateur (le propriétaire du réfrigérateur).
La loi sur les données prévoit plusieurs mécanismes pour faciliter l’utilisation de ces dispositions par les utilisateurs: les détenteurs de données doivent fournir à l’utilisateur des informations sur le type de données qu’ils généreront lors de l’utilisation du produit connecté ou du service connexe (y compris le volume, la fréquence de collecte, etc.); les utilisateurs devraient pouvoir demander l’accès aux données par le biais d’un processus simple, et les détenteurs de données doivent mettre les données à la disposition des utilisateurs gratuitement.
Limitations de l’utilisation des données
Afin de ne pas dissuader les entreprises d’investir dans des produits générateurs de données, les données obtenues ne peuvent pas être utilisées pour développer un produit connecté concurrent. La loi sur les données n’interdit pas la concurrence dans les services connexes ou post-marché. En outre, la loi sur les données n’oblige pas un détenteur de données à partager des données avec des tiers établis en dehors de l’UE.
La loi sur les données est pleinement conforme aux règles de protection des données, notamment au RGPD. Lorsque l’utilisateur n’est pas la personne concernée dont les données sont demandées, les données à caractère personnel ne peuvent être mises à disposition que s’il existe une base juridique valide (par exemple, consentement). Il s’agit d’une considération importante étant donné que les données cogénérées contiennent souvent des données personnelles et non personnelles, ce qui peut être difficile à séparer.
Il encourage le développement de produits et services connectés basés sur de nouveaux flux de données, ce qui est particulièrement important pour les petites entreprises. En outre, les microentreprises et les petites entreprises, en tant que fabricants ou prestataires de services connexes, ne sont pas soumises aux mêmes obligations que les grandes entreprises.
Pour protéger les secrets d’ affaires sans porter atteinte à l’objectif de la loi sur les données de rendre plus de données disponibles, le détenteur des données et l’utilisateur/tiers peuvent convenir de certaines mesures visant à préserver la confidentialité des secrets d’affaires. Lorsque ces mesures ne sont pas respectées, le détenteur des données peut refuser ou suspendre le partage de données. Le titulaire des données ne peut refuser de partager des données que s’il peut démontrer qu’elle est fortement susceptible de subir un préjudice économique grave du fait de la divulgation de secrets d’affaires.
Le détenteur des données et l’utilisateur peuvent accepter de limiter le partage de données s’il existe un risque que les exigences de sécurité du produit connecté soient compromises, ce qui entraîne des effets néfastes graves sur la santé, la sécurité ou la sécurité des personnes. Ces exigences doivent être fixées par le droit de l’Union ou le droit national.
Si le détenteur de données suspend, refuse ou refuse de partager des données pour des raisons de protection ou de sécurité des secrets d’affaires, il doit en informer l’autorité nationale compétente. Les utilisateurs peuvent contester une telle décision, soit devant la juridiction compétente d’un État membre, via une plainte auprès de l’autorité compétente ou sur accord avec le titulaire des données devant un organe de règlement des litiges.
Chapitre III: Règles relatives au partage obligatoire de données interentreprises
Pourquoi?
La loi sur les données introduit des règles pour les situations dans lesquelles une entreprise («titulaire de données») a l’obligation légale, en vertu du droit de l’Union ou du droit national, de mettre des données à la disposition d’une autre entreprise («récipiendaire de données»), y compris dans le contexte des données IoT. En particulier, les conditions générales de partage des données doivent être équitables, raisonnables et non discriminatoires.
Pour encourager le partage de données, les détenteurs de données qui sont tenus de partager des données peuvent demander une «indemnisation raisonnable» au destinataire des données.
Types de données dans le champ d’application
Le chapitre III de la loi sur les données s’applique à toutes les données (personnelles et non personnelles) détenues par une entreprise, y compris les situations visées au chapitre II de la loi sur les données.
Dans la pratique
Les détenteurs de données peuvent demander une indemnisation raisonnable pour mettre les données à la disposition d’un destinataire de données. Cela pourrait inclure les coûts encourus pour la mise à disposition des données ainsi que les coûts techniques liés à la diffusion et au stockage. Toutefois, les microentreprises, les PME et les organismes de recherche à but non lucratif ne peuvent pas être facturés plus que les coûts encourus pour la mise à disposition des données.
Afin de protéger les détenteurs de données, la loi sur les données comprend une liste non exhaustive de mesures visant à remédier aux situations dans lesquelles un tiers ou un utilisateur a illégalement consulté ou utilisé des données. Par exemple, un détenteur de données pourrait exiger qu’une partie contrevenante cesse de produire le produit en question ou détruise les données qu’elle a obtenues illégalement, ou qu’elle puisse demander une indemnisation.
Toute obligation de partage de données qui précède la loi sur les données n’est pas affectée. Les obligations dans la future législation (sectorielle) devraient être alignées sur les dispositions du chapitre III de la loi sur les données.
Chapitre IV: Clauses contractuelles abusives
Pourquoi?
La liberté contractuelle est au cœur des relations interentreprises. Toutefois, la loi sur les données vise à protéger toutes les entreprises européennes qui cherchent à acquérir des données, en particulier les PME, contre les clauses contractuelles abusives par ses mesures d’intervention dans des situations où, par exemple, l’une des entreprises se trouve dans une position de négociation plus forte (par exemple en raison de sa taille du marché) et impose une clause non négociable («take-it-or-leave-it») liée à l’accès et à l’utilisation des données sur l’autre.
Types de données dans le champ d’application
Ces règles couvrent toutes les données, à la fois personnelles et non personnelles, détenues par une entité privée accessible et utilisée sur la base d’un contrat entre entreprises.
Dans la pratique
Les clauses de prise ou de laisse imposées unilatéralement peuvent, lorsqu’elles ont trait à la mise à disposition de données, faire l’objet d’un critère de caractère abusif.
La loi sur les données établit une liste non exhaustive de clauses qui sont toujours considérées comme abusives (par exemple, qui excluraient ou limiteraient la responsabilité de la partie qui a imposé unilatéralement la clause pour des actes intentionnels ou une négligence grave) et des clauses présumées abusives (par exemple, cela limiterait de manière inappropriée les recours en cas de non-exécution d’obligations contractuelles ou de responsabilité en cas de violation de ces obligations, ou étendrait la responsabilité de l’entreprise à laquelle la clause a été imposée unilatéralement). Si une clause est considérée comme abusive, elle n’est plus valable — dans la mesure du possible, elle est simplement séparée du contact. S’il est présumé abusif, l’entité qui a imposé la clause peut tenter de démontrer que la clause n’est pas abusive.
Chapitre V: Partage de données intergouvernementales
Pourquoi?
Les données détenues par des entités privées peuvent être essentielles pour qu’un organisme du secteur public puisse s’ acquitter d’une mission d’intérêt public. Le chapitre V de la loi sur les données permet aux organismes du secteur public d’accéder à ces données, sous certaines conditions, lorsqu’il existe un besoin exceptionnel. Ce dernier fait référence à une situation imprévisible et limitée dans le temps, dans laquelle les données détenues par une entité privée sont nécessaires à l’accomplissement de la mission d’intérêt public, notamment pour améliorer la prise de décision fondée sur des données probantes. Les situations de besoin exceptionnel comprennent à la fois les situations d’ urgence publique (telles que les catastrophes naturelles ou d’origine humaine, les pandémies et les incidents de cybersécurité) et les situations non urgentes (par exemple, des données agrégées et anonymisées provenant des systèmes GPS des conducteurs pourraient être utilisées pour optimiser les flux de trafic).
La loi sur les données veillera à ce que les autorités publiques aient accès à ces données en temps utile et de manière fiable, sans imposer une charge administrative excessive aux entreprises.
Types de données entrant dans le champ d’application
En vertu du chapitre V, toutes les données ont un champ d’application, l’accent étant mis sur les données à caractère non personnel.
Le chapitre V de la loi sur les données sur le partage des données entre entreprises et administrations établit une distinction entre deux scénarios:
-
Afin de répondre à une situation d’urgence publique, un organisme du secteur public devrait demander des données à caractère non personnel. Toutefois, si cela n’est pas suffisant pour répondre à la situation, des données personnelles peuvent être demandées. Dans la mesure du possible, ces données devraient être anonymisées par le détenteur des données.
-
Dans les situations non urgentes, les organismes du secteur public ne peuvent demander que des données à caractère non personnel.
Principales parties prenantes
Les entités habilitées à demander des données comprennent les organismes du secteur public des États membres ainsi que certaines institutions, organes et agences de l’UE. Ces entités peuvent également partager les données avec des organismes de recherche et de financement dans certaines conditions.
Dans le contexte des demandes intergouvernementales, les détenteurs de données sont généralement des entités privées, mais peuvent également inclure des entreprises publiques.
Dans la pratique
Un organisme du secteur public peut, sous certaines conditions, obliger un détenteur de données à mettre à disposition certaines données sans retard injustifié pour répondre à une situation d’urgence publique. La loi sur les données définit une situation d’urgence publique; mais son existence est déterminée selon des procédures ou des lois nationales ou européennes.
Pour des besoins exceptionnels qui ne sont pas liés à une situation d’urgence publique, un organisme du secteur public peut demander des données à caractère non personnel pour remplir une mission spécifique d’intérêt public et prévue par la loi, si l’organisme du secteur public peut prouver qu’il n’a pas été en mesure d’accéder aux données par d’autres moyens.
Dans les deux cas (urgence et non urgence), les demandes doivent respecter un certain nombre de principes et de conditions stricts. Par exemple, les demandes doivent être spécifiques, transparentes et proportionnées, les secrets d’affaires doivent être protégés et les données doivent être supprimées une fois qu’elles ne sont plus nécessaires.
Le tableau ci-dessous résume ce que les entreprises peuvent demander pour fournir des données à un organisme du secteur public dans ce contexte.
Compensation pour la mise à disposition de données en vertu du chapitre V de la loi sur les données
| Les entreprises autres que les microentreprises et les petites entreprises peuvent demander: | Lesmicro et petites entreprises peuvent demander: | |
| Urgence publique | Les entreprises peuvent demander que leur contribution aux données soit reconnue et reconnue publiquement par l’organisme public destinataire. | Rémunération raisonnable n’excédant pas les coûts techniques et organisationnels encourus + reconnaissance publique, sur demande |
| Situation non urgente | Rémunération raisonnable n’excédant pas les coûts techniques et organisationnels supportés (à l’exception de la production de statistiques officielles) | S/O (exempté de l’obligation de fournir des données) |
Afin de réduire au minimum la charge pesant sur les entreprises, les mêmes données ne peuvent pas être demandées plus d’ une fois («principe une fois pour toutes») par plus d’un organisme du secteur public. Pour cette raison, toutes les demandes doivent être rendues publiques par le coordinateur des données (à moins qu’il n’y ait un problème de sécurité).
Chapitre VI: Passage d’un service de traitement de données à un autre
Pourquoi?
Afin de garantir un marché concurrentiel dans l’UE, les clients de services de traitement de données (y compris les services d’informatique en nuage et de périphérie) devraient pouvoir passer de manière transparente d’un fournisseur à un autre. Toutefois, les clients sont actuellement confrontés à un certain nombre d’obstacles, notamment des frais élevés liés, par exemple, à l’évacuation des données, à de longues procédures et à un manque d’interopérabilité entre les fournisseurs, ce qui peut entraîner une perte de données et d’applications.
La loi sur les données rendra la commutation libre, rapide et fluide. Cela profitera aux clients, qui peuvent choisir librement les services qui répondent le mieux à leurs besoins, ainsi qu’aux fournisseurs qui bénéficieront d’un plus grand nombre de clients.
Portée
Le chapitre VI de la loi sur les données s’applique aux fournisseurs de services de traitement de données (c’est-à-dire les services numériques permettant un accès au réseau omniprésent et à la demande, tels que des réseaux, des serveurs ou d’autres infrastructures et logiciels virtuels ou physiques). Les données essentielles pour le changement de fournisseur comprennent les données d’entrée et de sortie, y compris les métadonnées, générées par l’utilisation du service par le client, à l’exclusion des données protégées par des droits de propriété intellectuelle ou constituant un secret d’affaires du fournisseur de services.
Dans la pratique
Pour remédier au déséquilibre de pouvoir entre les fournisseurs et les clients sur le marché du cloud, la loi sur les données fixe des exigences minimales pour le contenu des contrats en nuage. En particulier, les clients des secteurs privé et public bénéficieront d’une plus grande transparence contractuelle.
La loi sur les données comprend des mesures visant à garantir que les clients peuvent passer d’un fournisseur de services de traitement de données («fournisseur source») à un autre fournisseur («destination») rapidement et sans perdre de données ou de fonctionnalités des applications. Par exemple, les fournisseurs de plate-forme et de logiciel en tant que service doivent mettre à disposition des interfaces ouvertes et, au minimum, exporter des données dans un format couramment utilisé et lisible par machine. Les fournisseurs d’infrastructure en tant que service doivent prendre des mesures pour faciliter que, lorsqu’un client passe à un service du même type, le client obtienne des résultats sensiblement comparables en réponse à la même entrée pour les caractéristiques que les deux services partagent («équivalence fonctionnelle»). À titre d’exemple d’une telle mesure, le fournisseur source peut avoir à utiliser des outils pour déplacer les charges de travail de calcul d’une technologie de virtualisation à une autre.
Tous les fournisseurs sont tenus de supprimer les obstacles auxquels leurs clients peuvent faire face lorsqu’ils souhaitent passer à un autre fournisseur ou utiliser plusieurs services en même temps.
La loi sur les données supprimera également entièrement les frais de commutation, y compris les frais de sortie des données (c’est-à-dire les frais de transit des données), à partir du 12 janvier 2027. Cela signifie que les fournisseurs ne seront pas en mesure de facturer leurs clients pour les opérations nécessaires pour faciliter la commutation ou la sortie de données. Toutefois, à titre de mesure transitoire au cours des trois premières années suivant l’entrée en vigueur de la loi sur les données (du 11 janvier 2024 au 12 janvier 2027), les fournisseurs peuvent toujours facturer à leurs clients les coûts liés à la commutation et à la sortie des données.
Chapitre VII: Accès illégal du gouvernement d’un pays tiers
Pourquoi?
Parfois, une décision ou un jugement rendu par un pays tiers (ci-après dénommé «pays tiers») vise à permettre aux gouvernements d’accéder et de transférer des données à caractère non personnel traitées et stockées dans l’UE. Toutefois, dans certains cas, l’octroi de l’accès à ces données ou leur transfert peuvent effectivement être illicites, en particulier lorsque la demande est contraire au droit de l’Union et aux garanties relatives à la protection des droits fondamentaux des personnes physiques, des intérêts de sécurité nationale ou des données commercialement sensibles.
La loi sur les données suit la loi sur la gouvernance des données en ce qui concerne les dispositions visant à prévenir l’accès et le transfert illégaux des données à caractère non personnel détenues dans l’UE par des gouvernements de pays tiers. Ces dispositions n’ont aucune incidence sur le partage régulier de données interentreprises. Elles renforcent la transparence et la sécurité juridique en ce qui concerne le processus et les conditions dans lesquels les données à caractère non personnel peuvent être consultées ou transférées à des organismes publics non membres de l’UE.
Types de données dans le champ d’application
Toute donnée à caractère non personnel détenue dans l’UE par un fournisseur d’un service de traitement de données.
Dans la pratique
La loi sur les données n’interdit pas les flux transfrontières de données, mais garantit que la protection accordée aux données dans l’UE voyage avec des données transférées en dehors de l’UE.
Dans ce contexte, la loi sur les données établit des règles et des garanties pour les demandes d’accès d’un organisme public étranger aux données à caractère non personnel détenues dans l’Union. La coopération internationale légitime dans le domaine de l’application de la loi n’est pas affectée par ces dispositions.
En l’absence d’accord international régissant l’accès d’un gouvernement d’un pays tiers à des données à caractère non personnel situées dans l’UE, les données ne peuvent être transférées ou consultées que dans des conditions spécifiques. Ces conditions font référence à certaines garanties de sauvegarde des droits européens qui doivent être respectées par l’ordre juridique du pays tiers, y compris l’obligation d’en exposer les motifs et d’apprécier la proportionnalité dans la décision. Le fournisseur de services de traitement des données visé par une telle décision peut contacter l’organisme national compétent pour aider à évaluer si les conditions énoncées dans la loi sur les données sont remplies. Pour aider à évaluer si ces conditions ont été remplies, la Commission européenne élaborera des lignes directrices en collaboration avec le comité européen de l’innovation en matière de données (un groupe d’experts créé en vertu de la législation sur la gouvernance des données afin de faciliter le partage des bonnes pratiques et de hiérarchiser les normes d’interopérabilité intersectorielles).
Les fournisseurs de services de traitement des données devraient prendre toutes les mesures raisonnables (par exemple chiffrement, audits, respect des systèmes de certification) pour empêcher l’accès aux systèmes dans lesquels ils stockent des données à caractère non personnel. Ces mesures devraient être publiées sur leurs sites internet. En outre, dans la mesure du possible, ils devraient informer leurs clients avant de donner accès à leurs données.
Chapitre VIII: Interopérabilité
Pourquoi?
Les normes et l’interopérabilité sont essentielles pour garantir que des données provenant de différentes sources puissent être utilisées à l’intérieur et entre les espaces de données européens communs pour favoriser la recherche et développer de nouveaux produits ou services. À cette fin, la loi sur les données établit certaines exigences essentielles auxquelles les participants aux espaces de données doivent se conformer et qui peuvent être précisées par la Commission européenne au moyen d’ actes délégués.
Il vise également à assurer l’interopérabilité entre les services de traitement des données; ceci est essentiel pour que les clients puissent bénéficier d’un changement de fournisseur plus facile.
Principales parties prenantes
Ce chapitre cible les participants d’espaces de données qui offrent des services de données ou de données à d’autres participants et qui facilitent ou s’engagent dans le partage de données au sein des espaces de données.
Il s’adresse également aux fournisseurs de contrats intelligents ainsi qu’aux fournisseurs de services de traitement des données.
Dans la pratique
Les participants à l’espace de données devraient se conformer à plusieurs exigences essentielles pour permettre aux données de circuler à l’intérieur et entre les espaces de données. Par exemple, une description des structures de données, des formats de données et des vocabulaires, le cas échéant, devrait être accessible au public. En outre, il convient de garantir l’interopérabilité des accords de partage des données, tels que les contrats intelligents.
La loi sur les données prépare également le terrain pour accroître l’interopérabilité des services de traitement des données au moyen de normes harmonisées et de spécifications d’interopérabilité ouvertes.
En outre, il établit des exigences pour les fournisseurs de contrats intelligents pour l’exécution automatisée des accords de partage de données, par exemple pour s’assurer qu’ils appliquent correctement les dispositions de l’accord de partage de données et résistent à la manipulation par des tiers.
La Commission évaluera les obstacles à l’interopérabilité et donnera la priorité aux besoins de normalisation, sur la base desquels elle pourra demander aux organisations européennes de normalisation d’élaborer des normes harmonisées conformes aux exigences susmentionnées.
Si la demande n’aboutit pas à une norme harmonisée ou si la norme est insuffisante pour garantir la conformité avec la législation sur les données, la Commission peut adopter des spécifications communes en tant que solution de secours. Celles-ci devraient être élaborées de manière ouverte et inclusive, compte tenu des retours d’informations du comité européen de l’innovation en matière de données.
Chapitre IX: Application et dispositions générales
Les États membres désigneront une ou plusieurs autorités compétentes (nouvelles ou existantes) pour assurer la mise en œuvre efficace de la législation sur les données. Chaque fois qu’il existe plusieurs autorités compétentes, les États membres doivent désigner l’une d’entre elles comme «coordonnateur des données». Le coordinateur des données agira en tant que «guichet unique» pour toutes les questions liées à la mise en œuvre de la loi sur les données au niveau national, ce qui facilitera l’application tant pour les entreprises que pour les pouvoirs publics. Par exemple, si une entreprise demande réparation pour violation de ses droits en vertu de la loi sur les données, le coordinateur des données devrait (sur demande) fournir toutes les informations nécessaires pour l’aider à déposer sa plainte auprès de l’autorité compétente appropriée. Le coordinateur des données facilitera également la collaboration dans des situations transfrontières, par exemple lorsqu’une autorité compétente d’un État membre donné ne sait pas quelle autorité elle devrait s’adresser dans l’État membre du coordinateur de données.
La Commission tiendra un registre public des autorités compétentes et des coordinateurs de données.
Le comité européen de l’innovation en matière de données facilitera les discussions entre les autorités compétentes, par exemple en vue de coordonner et d’adopter des recommandations sur la fixation de sanctions en cas d’infraction à la législation sur les données. Les sanctions sont fixées par les autorités compétentes et, conformément à la loi sur les données, des sanctions effectives, proportionnées et dissuasives devraient être prévues.
Les États membres peuvent, s’ils le souhaitent, mettre en place des organismes certifiés de règlement des différends pour aider les parties qui ne peuvent s’entendre sur des conditions équitables, raisonnables et non discriminatoires pour la mise à disposition des données. Les parties sont libres de s’adresser à tout organe de règlement des différends, que ce soit dans l’État membre dans lequel elles sont établies ou dans un autre État membre.
Des mécanismes certifiés de règlement des différends et des autorités compétentes spécialisées permettront aux entreprises, en particulier aux petites entreprises, de faire respecter leurs droits en vertu de la loi sur les données, car elles offrent une solution simple, rapide et peu coûteuse aux parties concernées.
Qu’y a-t-il ensuite?
La stratégie européenne en matière de données définit la voie à suivre pour que l’UE devienne un chef de file dans l’économie des données. Cet objectif sera atteint grâce à la création d’un marché unique européen des données dans lequel les données peuvent circuler entre les secteurs et les États membres d’une manière sûre et fiable au bénéfice de l’économie et de la société. En assurant l’équité dans la répartition de la valeur des données entre les parties prenantes, la Loi sur les données est un élément clé de la réalisation de cette vision.
La loi sur les données entrera en vigueur le 12 septembre 2025.
Pour aider les entreprises à naviguer dans ces nouvelles règles, la Commission recommandera un ensemble de clauses contractuelles types pour aider les entreprises à conclure des contrats de partage de données équitables, raisonnables et non discriminatoires (chapitres II et III de la loi sur les données). Ces conditions fourniront également des conseils sur l’indemnisation raisonnable et la protection des secrets d’affaires. La Commission recommandera également un ensemble de clauses contractuelles types non contraignantes pour les contrats d’informatique en nuage conclus entre les utilisateurs et les fournisseurs de services d’informatique en nuage. Un groupe d’experts a été créé pour aider la Commission à rédiger ces termes et clauses et elle prévoit de les recommander d’ici à l’automne 2025.
Dans les trois ans suivant son entrée en vigueur, la Commission procédera à une évaluation de l’impact de la loi sur les données. Sur cette base, si nécessaire, la Commission peut proposer une modification de la Loi.
Mentions légales
Ce document ne doit pas être considéré comme représentatif de la position officielle de la Commission européenne.