Aller au contenu

Contenu généré par IA: Les réponses sont générées par une IA, assemblées automatiquement et peuvent contenir des erreurs. Conformi est un outil de recherche et ne remplace pas un conseil juridique ou un examen juridique au cas par cas. Toutes les réponses doivent être vérifiées à l’aide des sources originales liées.

Conformi/Knowledge Base/32022R0868

Règlement (UE) 2022/868 sur la gouvernance européenne des données (Data Governance Act)

Analyse du 18 avril 20262 sourcesVersion originale du 30 mai 2022EUR-Lex Original

Mon organisation partage des données avec des tiers dans l'UE — dois-je notifier une autorité, et que risque-t-on si on ne le fait pas ?

Depuis le 24 septembre 2023, tout prestataire de services d'intermédiation de données doit notifier l'autorité compétente nationale avant de commencer ses activités, sous peine de sanctions financières dissuasives fixées par chaque État membre [Art. 11, Art. 14, Art. 34].

Réponse courte

Le règlement sur la gouvernance des données (DGA) encadre trois piliers : la réutilisation de données protégées du secteur public [Art. 3], les services d'intermédiation de données soumis à notification [Art. 10-12], et l'altruisme en matière de données via un enregistrement volontaire [Art. 16-22]. Les prestataires d'intermédiation doivent opérer via une personne morale distincte et ne peuvent pas utiliser les données échangées à d'autres fins [Art. 12 a)]. Le DGA s'applique sans préjudice du RGPD, qui prévaut en cas de conflit [Art. 1 par. 3].

Concernés

Les prestataires de services d'intermédiation de données (places de marché de données, plateformes d'échange B2B, coopératives de données) établis dans l'UE ou y offrant leurs services [Art. 10-11], les organismes du secteur public détenant des données protégées (données personnelles, secrets d'affaires, propriété intellectuelle) [Art. 3], et les organisations à but non lucratif souhaitant s'enregistrer pour l'altruisme en matière de données [Art. 18].

Échéance

Applicable depuis le 24 septembre 2023. Pour les prestataires d'intermédiation existants au 23 juin 2022 : conformité au chapitre III au plus tard le 24 septembre 2025 [Art. 37]. L'obligation de notification est permanente pour tout nouveau prestataire [Art. 11 par. 1].

Risque

Les sanctions sont fixées par chaque État membre et doivent être effectives, proportionnées et dissuasives [Art. 34 par. 1]. Les autorités compétentes peuvent imposer des sanctions financières (y compris des astreintes), exiger la suspension du service ou ordonner la cessation totale de l'activité d'intermédiation en cas d'infractions graves ou répétées [Art. 14 par. 4]. Le règlement ne fixe pas de plafond harmonisé au niveau de l'UE.

Preuves

Statut juridique

  • En vigueur
  • au 2026-04-18
  • Version originale du 30 mai 2022

Sources primaires

À faire maintenant

Juridique / DPO

  • Vérifier si les activités de partage de données de l'organisation constituent un service d'intermédiation au sens de l'Art. 10 et, le cas échéant, préparer la notification auprès de l'autorité compétente [Art. 11].
  • Examiner les clauses contractuelles des accords de réutilisation de données du secteur public pour s'assurer de leur conformité aux conditions de l'Art. 5, notamment l'interdiction des accords d'exclusivité [Art. 4].
  • S'assurer que tout transfert de données à caractère non personnel vers des pays tiers respecte les garanties prévues à l'Art. 5 par. 9-14, y compris l'existence de voies de recours effectives dans le pays destinataire.

Conformité

  • Établir un registre interne des activités d'intermédiation de données conformément à l'obligation de journalisation de l'Art. 12 o) et mettre en place les procédures anti-fraude requises [Art. 12 l)].
  • Mettre en place la séparation structurelle exigée par l'Art. 12 a) : les services d'intermédiation doivent être fournis par une personne morale distincte des autres activités commerciales du prestataire.
  • Documenter les politiques de neutralité et de non-discrimination tarifaire conformément à l'Art. 12 b) et démontrer que les conditions commerciales ne créent pas de verrouillage.

IT / Sécurité

  • Déployer un environnement de traitement sécurisé pour la réutilisation de données protégées du secteur public, incluant le chiffrement et des contrôles d'accès conformes à l'Art. 5 par. 3-4.
  • Implémenter les mesures techniques de notification et de consentement pour les personnes concernées et les détenteurs de données, y compris les outils de retrait du consentement [Art. 12 n)].
  • Garantir l'interopérabilité technique des services d'intermédiation conformément à l'Art. 12 i) et mettre en oeuvre les normes et formats ouverts recommandés par le comité européen de l'innovation dans le domaine des données [Art. 30].

Produit / Ingénierie

  • Évaluer si le modèle produit entre dans la définition des services d'intermédiation de données de l'Art. 2 par. 11 (relations commerciales de partage entre détenteurs et utilisateurs de données) ou s'il est exclu (simple stockage cloud, logiciel de partage) [Art. 10].
  • Intégrer dans le produit les fonctionnalités de transparence requises : information des utilisateurs sur la juridiction de traitement, outils de gestion du consentement et d'autorisation [Art. 12 m)-n)].
  • Préparer les éléments pour l'obtention du label 'prestataire de services d'intermédiation de données reconnu dans l'Union' et du logo commun une fois la notification confirmée [Art. 11 par. 9].

Termes clés

Service d'intermédiation de données
Service visant à établir des relations commerciales de partage de données entre détenteurs de données et utilisateurs de données par des moyens techniques, juridiques ou autres, à l'exclusion des services de stockage cloud, d'analyse ou de contenus protégés par le droit d'auteur [Art. 2 par. 11].
Altruisme en matière de données
Mise à disposition volontaire de données par des personnes concernées ou des détenteurs de données, sans contrepartie au-delà des coûts supportés, pour des objectifs d'intérêt général tels que la recherche scientifique, la santé publique ou la lutte contre le changement climatique [Art. 2 par. 16].
Détenteur de données
Personne morale ou physique, ou organisme du secteur public qui, conformément au droit applicable, a le droit d'octroyer l'accès à certaines données ou de les partager [Art. 2 par. 8].
Utilisateur de données
Personne physique ou morale ayant un accès licite à certaines données et autorisée à les utiliser à des fins commerciales ou non commerciales [Art. 2 par. 9].
Environnement de traitement sécurisé
Environnement physique ou virtuel et moyens organisationnels garantissant le respect du droit de l'Union, notamment le RGPD, et permettant au fournisseur de l'environnement de déterminer et superviser toutes les actions de traitement de données [Art. 2 par. 20].
Coopérative de données
Structure organisationnelle constituée de personnes concernées, d'entreprises unipersonnelles ou de PME dont l'objectif principal est d'aider ses membres à exercer leurs droits sur les données, notamment en négociant les conditions de traitement en leur nom [Art. 2 par. 15].
Comité européen de l'innovation dans le domaine des données
Groupe d'experts institué par l'Art. 29, composé de représentants des autorités nationales compétentes, du CEPD, de l'ENISA et de la Commission, chargé de conseiller sur les normes d'interopérabilité et les meilleures pratiques de gouvernance des données.
?

Questions fréquentes

Quelle est la différence entre le DGA et le règlement sur les données (Data Act) ?
Le DGA (règlement 2022/868) établit un cadre de gouvernance : il règle la réutilisation de données protégées du secteur public, encadre les intermédiaires de données et crée le régime d'altruisme en matière de données. Le Data Act (règlement 2023/2854) porte sur l'accès aux données générées par les objets connectés et les relations contractuelles entre utilisateurs et fabricants. Les deux règlements sont complémentaires et s'appliquent sans préjudice l'un de l'autre.
Mon entreprise exploite une place de marché de données B2B — doit-elle se notifier ?
Oui, si la plateforme établit des relations commerciales de partage de données entre détenteurs et utilisateurs de données au sens de l'Art. 10, elle constitue un service d'intermédiation de données soumis à notification auprès de l'autorité compétente nationale [Art. 11 par. 1]. La notification est une simple déclaration, pas une autorisation préalable.
Les services de stockage cloud sont-ils considérés comme des services d'intermédiation ?
Non. L'Art. 2 par. 11 exclut expressément les services de stockage en nuage, d'analyse, les logiciels de partage de données et les navigateurs internet, pour autant qu'ils ne fournissent que des outils techniques sans viser à établir des relations commerciales de partage entre détenteurs et utilisateurs de données.
Comment fonctionne l'enregistrement pour l'altruisme en matière de données ?
L'enregistrement est volontaire [Art. 16]. L'entité doit être à but non lucratif, juridiquement indépendante d'entités lucratives, et mener ses activités altruistes via une structure fonctionnellement distincte [Art. 18]. Une fois enregistrée, elle peut utiliser le label 'organisation altruiste en matière de données reconnue dans l'Union' [Art. 17 par. 2] et son enregistrement est valable dans toute l'UE.
Quel est le rôle du comité européen de l'innovation dans le domaine des données ?
Le comité, institué par l'Art. 29, est un groupe d'experts composé de représentants des autorités compétentes des États membres, du CEPD, de l'ENISA et de la Commission. Il conseille la Commission sur les normes d'interopérabilité, facilite la coopération entre autorités nationales et émet des recommandations sur les sanctions et les espaces européens communs de données [Art. 30].
Un prestataire d'intermédiation peut-il utiliser les données échangées pour ses propres analyses ?
Non. L'Art. 12 a) interdit au prestataire d'utiliser les données pour lesquelles il fournit des services d'intermédiation à des fins autres que leur mise à disposition des utilisateurs de données. Les métadonnées d'activité (journaux, connexions) ne peuvent être exploitées que pour le développement du service lui-même [Art. 12 c)].
Comment le DGA interagit-il avec le RGPD ?
Le DGA s'applique sans préjudice du RGPD [Art. 1 par. 3]. En cas de conflit, le droit de la protection des données prévaut. Le DGA ne crée aucune nouvelle base juridique pour le traitement de données personnelles [considérant 4]. Les autorités de protection des données conservent l'intégralité de leurs pouvoirs de contrôle.
3

Facteurs d’évaluation et liste de contrôle

Premium
Essai gratuit 7 jours
4

Questions pour votre avocat

Premium
Essai gratuit 7 jours
5

Conclusion et résumé

Premium
Essai gratuit 7 jours

Analyse détaillée avec liens sources.

Schalten Sie die KI-Analyse frei — mit markierten Fundstellen und direkten Links zu EUR-Lex. 7 Tage kostenlos testen.

Essai gratuit 7 jours

Keine Kreditkarte heute. Kündigung jederzeit.