Aller au contenu principal

Index

Règlement (UE) 2023/2854 du Parlement européen et du Conseil du 13 décembre 2023 concernant des règles harmonisées portant sur l'équité de l’accès aux données et de l’utilisation des données et modifiant le règlement (UE) 2017/2394 et la directive (UE) 2020/1828 (règlement sur les données)

Source : Droit UE
Code/RS : 2023/2854
  • Abbréviation :

    Règlement sur les données

  • Disposition :

    Art. 4

  • Brève description :

    Droits et obligations des utilisateurs et des détenteurs de données concernant l'accès aux données relatives au produit et aux données relatives au service connexe, leur utilisation et leur mise à disposition

  • Nature de la disposition :

    Droit de demander des données (Droit d' accéder aux données et d'utiliser les données)

  • Statut :

    Période transitoire Note: Applicable à partir du 12 septembre 2025.

  • Secteur :

    Tous

Texte légal :

1. Lorsque l'utilisateur ne peut pas accéder directement à des données à partir du produit connecté ou du service connexe, les détenteurs de données rendent les données facilement accessibles, ainsi que les métadonnées pertinentes nécessaires à l'interprétation et à l'utilisation de ces données, accessibles à l'utilisateur sans retard injustifié, à un niveau de qualité identique à celui dont bénéficie le détenteur de données, de manière aisée, sécurisée, sans frais, dans un format complet, structuré, couramment utilisé et lisible par machine et, lorsque cela est pertinent et techniquement possible, en continu et en temps réel. À cet effet, une simple demande est envoyée par voie électronique lorsque cela est techniquement possible. 2. Les utilisateurs et les détenteurs de données peuvent contractuellement restreindre ou interdire l'accès aux données, leur utilisation ou leur partage ultérieur, si un tel traitement est susceptible de porter atteinte aux exigences de sécurité du produit connecté, telles qu'elles sont prévues par le droit de l'Union ou le droit national, entraînant de graves effets indésirables pour la santé, la sûreté ou la sécurité des personnes physiques. Les autorités sectorielles peuvent fournir aux utilisateurs et aux détenteurs de données une expertise technique dans ce contexte. Lorsque le détenteur de données refuse de partager des données en vertu du présent article, il adresse une notification à l'autorité compétente désignée conformément à l'article 37. 3. Sans préjudice du droit de l'utilisateur de demander réparation à tout moment devant une juridiction d'un État membre, l'utilisateur, dans le cadre de tout litige avec le détenteur de données concernant les restrictions ou interdictions contractuelles visées au paragraphe 2, peut: a) introduire une réclamation auprès de l'autorité compétente conformément à l'article 37, paragraphe 5, point b); ou b) convenir avec le détenteur de données de porter la question devant un organe de règlement des litiges conformément à l'article 10, paragraphe 1. 4. Les détenteurs de données ne rendent pas indûment difficile pour les utilisateurs le fait d'effectuer des choix ou d'exercer des droits prévus au présent article, y compris en offrant des choix à l'utilisateur d'une manière qui n'est pas neutre ou en réduisant ou en compromettant l'autonomie, la prise de décision ou le choix des utilisateurs au moyen de la structure, de la conception, de la fonction ou du mode de fonctionnement d'une interface numérique utilisateur ou d'une partie de celle-ci. 5. Afin de vérifier si une personne physique ou morale peut être considérée comme un utilisateur aux fins du paragraphe 1, un détenteur de données n'exige pas de ladite personne qu'elle fournisse d'autres informations que celles qui sont nécessaires. Les détenteurs de données ne conservent aucune autre information, en particulier aucune donnée de connexion, sur l'accès de l'utilisateur aux données demandées que celles qui sont nécessaires à la bonne exécution de la demande d'accès de l'utilisateur et à la sécurité et à la maintenance de l'infrastructure de données. 6. Les secrets d'affaires sont préservés et ne sont divulgués que lorsque le détenteur de données et l'utilisateur prennent toutes les mesures nécessaires avant la divulgation pour préserver leur confidentialité, en particulier en ce qui concerne les tiers. Le détenteur de données ou, s'il ne s'agit pas de la même personne, le détenteur de secrets d'affaires recense les données protégées en tant que secrets d'affaires, y compris dans les métadonnées pertinentes, et convient avec l'utilisateur de mesures techniques et organisationnelles proportionnées nécessaires afin de préserver la confidentialité des données partagées, en particulier en ce qui concerne les tiers, telles que des clauses contractuelles types, des accords de confidentialité, des protocoles d'accès stricts, des normes techniques et l'application de codes de conduite. 7. En l'absence d'accord sur les mesures nécessaires visées au paragraphe 6, ou si l'utilisateur ne met pas en œuvre les mesures convenues en vertu du paragraphe 6 ou compromet la confidentialité des secrets d'affaires, le détenteur de données peut bloquer ou, selon le cas, suspendre le partage des données définies comme secrets d'affaires. La décision du détenteur de données est dûment motivée et communiquée par écrit à l'utilisateur sans retard injustifié. Dans de tels cas, le détenteur de données notifie à l'autorité compétente désignée en vertu de l'article 37 qu'il a retenu ou suspendu le partage de données et indique les mesures qui n'ont pas été convenues ou mises en œuvre et, le cas échéant, les secrets d'affaires dont la confidentialité a été compromise. 8. Dans des circonstances exceptionnelles, lorsque le détenteur de données qui est un détenteur de secret d'affaires peut démontrer qu'il est très probable qu'il subisse un préjudice économique grave du fait de la divulgation de secrets d'affaires, malgré les mesures techniques et organisationnelles prises par l'utilisateur en vertu du paragraphe 6 du présent article, ce détenteur de données peut refuser au cas par cas une demande d'accès aux données spécifiques en question. Cette démonstration est dûment étayée sur la base d'éléments objectifs, en particulier l'opposabilité de la protection des secrets d'affaires dans les pays tiers, la nature et le niveau de confidentialité des données demandées, ainsi que le caractère unique et neuf du produit connecté, et est fournie par écrit à l'utilisateur sans retard injustifié. Lorsque le détenteur de données refuse de partager des données en vertu du présent paragraphe, il adresse une notification à l'autorité compétente désignée en vertu de l'article 37. 9. Sans préjudice du droit d'un utilisateur de demander réparation à tout moment devant une juridiction d'un État membre, un utilisateur souhaitant contester la décision d'un détenteur de données de refuser ou de bloquer ou suspendre le partage de données en vertu des paragraphes 7 et 8 peut: a) introduire une réclamation auprès de l'autorité compétente conformément à l'article 37, paragraphe 5, point b), qui décide, sans retard injustifié, si et dans quelles conditions le partage des données doit commencer ou reprendre; ou b) convenir avec le détenteur de données de porter la question devant un organe de règlement des litiges conformément à l'article 10, paragraphe 1. 10. L'utilisateur ne se sert pas des données obtenues en réponse à une demande visée au paragraphe 1 pour mettre au point un produit connecté concurrençant le produit connecté dont proviennent les données, ni ne partage les données avec un tiers dans cette intention, et il n'utilise pas ces données pour obtenir des informations sur la situation économique, les actifs ou les méthodes de production du fabricant ou, le cas échéant, du détenteur de données. 11. L'utilisateur s'abstient d'avoir recours à des moyens coercitifs ou de tirer avantage de lacunes dans l'infrastructure technique du détenteur de données qui est destinée à protéger les données pour obtenir l'accès aux données. 12. Lorsque l'utilisateur n'est pas la personne concernée dont les données à caractère personnel font l'objet de la demande, les données à caractère personnel générées par l'utilisation d'un produit connecté ou d'un service connexe ne sont mises à la disposition de l'utilisateur par le détenteur de données que s'il existe un fondement juridique valable pour le traitement au titre de l'article 6 du règlement (UE) 2016/679 et, le cas échéant, si les conditions énoncées à l'article 9 dudit règlement et à l'article 5, paragraphe 3, de la directive 2002/58/CE sont remplies. 13. Un détenteur de données n'utilise les données facilement accessibles qui sont des données à caractère non personnel que sur la base d'un contrat avec l'utilisateur. Un détenteur de données n'utilise pas ces données pour obtenir des informations sur la situation économique, les actifs ou les méthodes de production de l'utilisateur, ou sur l'utilisation qu'en fait ce dernier, d'une quelconque autre manière susceptible de porter atteinte à la position commerciale dudit utilisateur sur les marchés où celui-ci est actif. 14. Les détenteurs de données ne mettent pas à la disposition de tiers les données à caractère non personnel relatives aux produits à des fins commerciales ou non commerciales autres que l'exécution de leur contrat avec l'utilisateur. Le cas échéant, les détenteurs de données obligent contractuellement les tiers à ne pas partager les données reçues de leur part.

Acteur sur lequel pèse l’obligation de partage de données

Article 2(13): "Détenteur de données" (ou "data holder" ) "une personne physique ou morale qui, conformément au présent règlement, aux dispositions applicables du droit de l'Union ou à la législation nationale adoptée conformément au droit de l'Union, a le droit ou l'obligation d'utiliser et de mettre à disposition des données, y compris, lorsqu'il en a été convenu par contrat, des données relatives au produit ou des données relatives au service connexe qu'elle a extraites ou générées au cours de la fourniture d'un service connexe;"

Bénéficiaires

Article 2(12): "Utilisateur de produits connectés ou de services connexes" (ou "users of connected products or related services") "une personne physique ou morale à laquelle appartient un produit connecté ou à laquelle des droits temporaires d'utilisation de ce produit connecté ont été cédés contractuellement, ou qui reçoit des services connexes;"

Critères de rattachement pour la Suisse

Critères de rattachement pour la Suisse

Aspects financiers

Gratuit

Caractère contraignant et/ou exécutoire

Obligation contraignante; Droit exécutoire

Conditions à remplir pour accéder aux données

Une demande de l'utilisateur envoyée par voie électronique lorsque cela est techniquement possible

Exceptions et limitations

Exception du côté des sujets d'obligation : Art. 7: Des obligations en matière de partage de données entre consommateurs et entreprises et entre entreprises ne s'appliquent pas aux données générées par l'utilisation de produits connectés fabriqués ou conçus ou de services connexes fournis par: - une microentreprise ou une petite entreprise, ou par - une entreprise qui est qualifiée d'entreprise moyenne depuis moins d'un an et pour les produits connectés pendant une période d'un an après la date à laquelle ils ont été mis sur le marché par une entreprise moyenne

Données dynamiques (lorsque cela est pertinent et techniquement réalisable)

Format

Format complet, structuré, couramment utilisé et lisible par machine

Plateforme

n/a

Acteur sur lequel pèse l’obligation de partage de données Article 2(13): "Détenteur de données" (ou "data holder" ) "une personne physique ou morale qui, conformément au présent règlement, aux dispositions applicables du droit de l'Union ou à la législation nationale adoptée conformément au droit de l'Union, a le droit ou l'obligation d'utiliser et de mettre à disposition des données, y compris, lorsqu'il en a été convenu par contrat, des données relatives au produit ou des données relatives au service connexe qu'elle a extraites ou générées au cours de la fourniture d'un service connexe;"

Bénéficiaires Article 2(12): "Utilisateur de produits connectés ou de services connexes" (ou "users of connected products or related services") "une personne physique ou morale à laquelle appartient un produit connecté ou à laquelle des droits temporaires d'utilisation de ce produit connecté ont été cédés contractuellement, ou qui reçoit des services connexes;"

Critères de rattachement pour la Suisse Art. 1(3): Sujets d'obligation : - Détenteurs de données suisses qui mettent les données à disposition des destinataires de données dans l'Union. Les bénéficiaires: - Utilisateurs suisses de produits connectés et services connexes situés dans l'Union; - Destinataires de données suisses situés dans l'Union auxquels les données sont mises à disposition.

Aspects financiers Gratuit

Caractère contraignant et/ou exécutoire Obligation contraignante; Droit exécutoire

Conditions à remplir pour accéder aux données Une demande de l'utilisateur envoyée par voie électronique lorsque cela est techniquement possible

Exceptions et limitations Exception du côté des sujets d'obligation : Art. 7: Des obligations en matière de partage de données entre consommateurs et entreprises et entre entreprises ne s'appliquent pas aux données générées par l'utilisation de produits connectés fabriqués ou conçus ou de services connexes fournis par: - une microentreprise ou une petite entreprise, ou par - une entreprise qui est qualifiée d'entreprise moyenne depuis moins d'un an et pour les produits connectés pendant une période d'un an après la date à laquelle ils ont été mis sur le marché par une entreprise moyenne

Composante temporelle Données dynamiques (lorsque cela est pertinent et techniquement réalisable)

Format Format complet, structuré, couramment utilisé et lisible par machine

Plateforme n/a

Élaboration et exclusion de responsabilité

Cet index a été établi sur mandat de l’IPI par l’étude id est avocats Sàrl (pour la partie relative au droit suisse) et par l’étude Pierstone (pour la partie relative au droit européen). 

Cet index ne constitue pas un conseil juridique et aucune garantie n’est donnée quant à son caractère exhaustif. 

Ni id est avocats Sàrl, ni Pierstone, ni l’IPI, ni le DFJP ne sauraient être tenus responsables de décisions ou actions prises sur la base de cet index.