(1)

Le traité sur le fonctionnement de l’Union européenne prévoit l’établissement d’un marché intérieur ainsi que l’instauration d’un régime garantissant que la concurrence sur le marché intérieur n’est pas faussée. La mise en place de règles et pratiques communes dans les États membres en ce qui concerne l’élaboration d’un cadre de gouvernance des données devrait contribuer à la réalisation de ces objectifs, dans le plein respect des droits fondamentaux. Elle devrait également garantir le renforcement de l’autonomie stratégique ouverte de l’Union tout en facilitant la libre circulation des données à l’échelle internationale.

(2)

Au cours de la dernière décennie, les technologies numériques ont transformé l’économie et la société, touchant tous les secteurs d’activité et la vie quotidienne. Les données sont au cœur de cette transformation: l’innovation fondée sur les données apportera des avantages considérables aussi bien aux citoyens de l’Union qu’à l’économie, par exemple en améliorant et en personnalisant la médecine, en offrant une mobilité nouvelle et en contribuant à la communication de la Commission du 11 décembre 2019 sur le pacte vert pour l’Europe. Afin que l’économie fondée sur les données soit inclusive à l’égard de tous les citoyens de l’Union, il faut veiller tout particulièrement à réduire la fracture numérique, à encourager la participation des femmes à l’économie des données et à promouvoir une expertise européenne de pointe dans le secteur des technologies. L’économie des données doit être construite de manière à permettre aux entreprises, en particulier aux micro, petites et moyennes entreprises (PME), telles qu’elles sont définies à l’annexe de la recommandation 2003/361/CE de la Commission (3), et aux jeunes pousses de prospérer, en garantissant la neutralité de l’accès aux données ainsi que la portabilité et l’interopérabilité des données, et en évitant les effets de verrouillage. Dans sa communication du 19 février 2020 sur une stratégie européenne pour les données (ci-après dénommée «stratégie européenne pour les données»), la Commission a décrit la vision qu’elle a d’un espace européen unique des données, à savoir un marché intérieur des données dans lequel les données pourraient être utilisées quel que soit leur lieu de stockage physique dans l’Union, conformément au droit applicable, et qui soit susceptible, entre autres, de jouer un rôle déterminant dans le développement rapide des technologies de l’intelligence artificielle.

La Commission a également plaidé en faveur de la libre circulation sécurisée des données avec les pays tiers, sous réserve des exceptions et des restrictions en matière de sécurité publique, d’ordre public et d’autres objectifs légitimes de politique publique de l’Union, conformément aux obligations internationales, y compris en ce qui concerne les droits fondamentaux. Afin que cette vision devienne réalité, la Commission a proposé de mettre en place des espaces européens communs de données spécifiques à certains domaines en vue du partage de données et de la mise en commun de données. Ainsi que le propose la stratégie européenne pour les données, ces espaces européens communs de données pourraient couvrir des domaines tels que la santé, la mobilité, l’industrie manufacturière, les services financiers, l’énergie ou l’agriculture, ou une combinaison de ces domaines, par exemple l’énergie et le climat, ainsi que des domaines thématiques tels que le pacte vert pour l’Europe, l’administration publique ou les compétences. Les espaces européens communs de données devraient rendre les données traçables, accessibles, interopérables et réutilisables (ci-après dénommé «principes FAIR pour les données»), tout en garantissant un niveau élevé de cybersécurité. Lorsqu’il existe des conditions de concurrence équitables dans l’économie des données, les entreprises se font concurrence sur la qualité des services, et non sur la quantité de données qu’elles contrôlent. Aux fins de la conception, de la création et du maintien de conditions de concurrence équitables dans l’économie des données, une gouvernance solide est nécessaire, à laquelle les parties prenantes concernées d’un espace européen commun de données doivent participer et dans laquelle elles doivent être représentées.

(3)

Il est nécessaire d’améliorer les conditions du partage des données dans le marché intérieur, en créant un cadre harmonisé pour les échanges de données et en définissant un certain nombre d’exigences de base pour la gouvernance des données, en veillant tout particulièrement à faciliter la coopération entre les États membres. Le présent règlement devrait viser à développer davantage le marché intérieur numérique sans frontières ainsi qu’une société et une économie des données centrées sur l’humain, dignes de confiance et sûres. Le droit sectoriel de l’Union peut élaborer, adapter et proposer des éléments nouveaux et complémentaires, en fonction des spécificités du secteur, telles que les dispositions du droit de l’Union envisagées en ce qui concerne l’espace européen des données relatives à la santé et en ce qui concerne l’accès aux données relatives aux véhicules. En outre, certains secteurs de l’économie sont déjà réglementés par le droit sectoriel de l’Union, qui comprend des règles relatives au partage de données ou à l’accès aux données au niveau transfrontalier ou à l’échelle de l’Union, par exemple la directive 2011/24/UE du Parlement européen et du Conseil (4) dans le cadre de l’espace européen des données relatives à la santé, et les actes législatifs pertinents dans le domaine des transports, tels que les règlements (UE) 2019/1239 (5) et (UE) 2020/1056 (6) et la directive 2010/40/UE (7) du Parlement européen et du Conseil dans le cadre de l’espace européen des données relatives à la mobilité.

Le présent règlement devrait par conséquent être sans préjudice des règlements (CE) no 223/2009 (8), (UE) 2018/858 (9) et (UE) 2018/1807 (10) ainsi que des directives 2000/31/CE (11), 2001/29/CE (12), 2004/48/CE (13), 2007/2/CE (14), 2010/40/UE, (UE) 2015/849 (15), (UE) 2016/943 (16), (UE) 2017/1132 (17), (UE) 2019/790 (18) et (UE) 2019/1024 (19) du Parlement européen et du Conseil et de toute autre disposition du droit sectoriel de l’Union qui régit l’accès aux données et la réutilisation des données. Le présent règlement devrait s’entendre sans préjudice du droit de l’Union et du droit national concernant l’accès aux données et l’utilisation des données à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, ainsi qu’aux fins de la coopération internationale dans ce cadre.

Le présent règlement devrait s’entendre sans préjudice des compétences des États membres en ce qui concerne leurs activités relatives à la sécurité publique, à la défense et à la sécurité nationale. La réutilisation des données protégées à de telles fins et détenues par des organismes du secteur public, y compris les données issues des procédures de passation de marchés relevant du champ d’application de la directive 2009/81/CE du Parlement européen et du Conseil (20), ne devrait pas être couverte par le présent règlement. Il convient d’instaurer un régime horizontal pour la réutilisation de certaines catégories de données protégées détenues par des organismes du secteur public et pour la fourniture de services d’intermédiation de données et de services fondée sur l’altruisme en matière de données dans l’Union. Les caractéristiques spécifiques des différents secteurs peuvent rendre nécessaire la conception de systèmes sectoriels fondés sur les données, tout en s’appuyant sur les exigences posées par le présent règlement. Les prestataires de services d’intermédiation de données qui satisfont aux exigences fixées dans le présent règlement devraient pouvoir utiliser le label «prestataire de services d’intermédiation de données reconnu dans l’Union». Les personnes morales qui cherchent à promouvoir des objectifs d’intérêt général en mettant à disposition des données pertinentes sur le fondement de l’altruisme en matière de données à la bonne échelle et qui satisfont aux exigences fixées dans le présent règlement devraient pouvoir s’enregistrer en tant que «organisation altruiste en matière de données reconnue dans l’Union» et utiliser ce label. Lorsque le droit sectoriel de l’Union ou le droit sectoriel national impose aux organismes du secteur public, à de tels prestataires de services d’intermédiation de données ou à de telles personnes morales (organisations altruistes en matière de données reconnues) de respecter des exigences techniques, administratives ou organisationnelles particulières supplémentaires, y compris au moyen d’un régime d’autorisation ou de certification, les dispositions du droit sectoriel de l’Union ou du droit sectoriel national devraient également s’appliquer.

(4)

Le présent règlement devrait s’entendre sans préjudice des règlements (UE) 2016/679 (21) et (UE) 2018/1725 (22) du Parlement européen et du Conseil et des directives 2002/58/CE (23) et (UE) 2016/680 (24) du Parlement européen et du Conseil et des dispositions correspondantes du droit national, y compris lorsque les données à caractère personnel et non personnel d’un ensemble de données sont inextricablement liées. En particulier, le présent règlement ne devrait pas être lu comme créant une nouvelle base juridique pour le traitement des données à caractère personnel dans le cadre de l’une des activités réglementées, ni comme modifiant les exigences en matière d’information prévues par le règlement (UE) 2016/679. La mise en œuvre du présent règlement ne devrait pas empêcher les transferts transfrontaliers de données conformément au chapitre V du règlement (UE) 2016/679. En cas de conflit entre le présent règlement et le droit de l’Union en matière de protection des données à caractère personnel ou le droit national adopté conformément audit droit de l’Union, le droit de l’Union ou le droit national applicable relatif à la protection des données à caractère personnel devrait prévaloir. Il devrait être possible de considérer les autorités chargées de la protection des données comme des autorités compétentes au titre du présent règlement. Lorsque d’autres autorités agissent comme autorités compétentes au titre du présent règlement, elles devraient agir sans préjudice des pouvoirs de surveillance et des compétences conférés aux autorités chargées de la protection des données au titre du règlement (UE) 2016/679.

(5)

Une action au niveau de l’Union est nécessaire pour accroître la confiance dans le partage des données en établissant des mécanismes appropriés permettant aux personnes concernées et aux détenteurs de données d’exercer un contrôle sur les données les concernant, et pour lever les autres obstacles au bon fonctionnement d’une économie fondée sur les données qui soit compétitive. Cette action devrait être sans préjudice des obligations et des engagements prévus dans les accords commerciaux internationaux conclus par l’Union. Un cadre de gouvernance à l’échelle de l’Union devrait avoir pour objectif d’instaurer la confiance entre les personnes physiques et les entreprises en ce qui concerne l’accès aux données, leur contrôle, leur partage, leur utilisation et leur réutilisation, en particulier en concevant des mécanismes appropriés permettant aux personnes concernées de connaître et d’exercer utilement leurs droits, ainsi qu’en ce qui concerne la réutilisation de certains types de données détenues par des organismes du secteur public, la fourniture de services aux personnes concernées, aux détenteurs de données et aux utilisateurs de données par les prestataires de services d’intermédiation de données, ainsi qu’en ce qui concerne la collecte et le traitement des données mises à disposition à des fins altruistes par des personnes physiques et morales. En particulier, une plus grande transparence en ce qui concerne la finalité de l’utilisation des données et les conditions dans lesquelles les données sont stockées par les entreprises peut contribuer à renforcer la confiance.

(6)

L’idée selon laquelle les données produites ou collectées par des organismes du secteur public ou d’autres entités aux frais des budgets publics devraient profiter à la société est depuis longtemps présente dans la politique de l’Union. La directive (UE) 2019/1024 et le droit sectoriel de l’Union garantissent que les organismes du secteur public rendent facilement accessibles un volume accru des données qu’ils produisent, à des fins d’utilisation et de réutilisation. Toutefois, il arrive souvent que certaines catégories de données, telles que les données commerciales confidentielles, les données couvertes par le secret statistique et les données protégées par des droits de propriété intellectuelle détenus par des tiers, y compris les secrets d’affaires et les données à caractère personnel, figurant dans des bases de données publiques ne soient pas rendues accessibles, même pour des activités de recherche ou d’innovation relevant de l’intérêt public, bien que cette disponibilité soit possible en vertu du droit de l’Union en vigueur, notamment le règlement (UE) 2016/679 et les directives 2002/58/CE et (UE) 2016/680. En raison du caractère sensible de ces données, certaines exigences procédurales de nature technique et juridique doivent être satisfaites avant leur mise à disposition, en particulier afin de garantir le respect des droits que d’autres personnes détiennent sur ces données ou de limiter les répercussions négatives sur les droits fondamentaux, le principe de non-discrimination et la protection des données. Satisfaire à ces exigences nécessite généralement beaucoup de temps et des connaissances pointues. Cela a conduit à une utilisation insuffisante de ces données. Si certains États membres mettent en place des structures, des processus ou des législations pour faciliter ce type de réutilisation, ce n’est pas le cas dans l’ensemble de l’Union. Afin de faciliter l’utilisation des données par les entités privées et publiques dans le cadre de la recherche et de l’innovation en Europe, il est nécessaire de fixer des conditions claires pour l’accès à ces données et leur utilisation dans l’ensemble de l’Union.

(7)

Il existe des techniques permettant d’effectuer des analyses dans les bases de données contenant des données à caractère personnel, notamment l’anonymisation, la confidentialité différentielle, la généralisation, la suppression et la randomisation, l’utilisation de données synthétiques ou des méthodes similaires, et d’autres méthodes de préservation de la vie privée à la pointe de la technologie, qui pourraient contribuer à un traitement des données plus respectueux de la vie privée. Les États membres devraient aider les organismes du secteur public à exploiter au mieux ces techniques et à mettre ainsi à disposition un maximum de données à partager. L’application de ces techniques, ainsi que d’analyses d’impact globales en matière de protection des données et d’autres garanties, peut contribuer à une plus grande sécurité dans l’utilisation et la réutilisation des données à caractère personnel et devrait garantir la réutilisation sûre des données commerciales confidentielles à des fins de recherche, d’innovation et de statistiques. Dans de nombreux cas, l’application de ces techniques, analyses d’impact et autres garanties suppose que les données ne peuvent être utilisées et réutilisées que dans un environnement de traitement sécurisé qui est fourni ou contrôlé par l’organisme du secteur public. Il existe, au niveau de l’Union, une certaine expérience de tels environnements de traitement sécurisés, qui sont utilisés pour la recherche sur les microdonnées statistiques sur le fondement du règlement (UE) no 557/2013 de la Commission (25). D’une manière générale, dans la mesure où des données à caractère personnel sont concernées, le traitement de telles données devrait se fonder sur une ou plusieurs des bases légales relatives au traitement prévues aux articles 6 et 9 du règlement (UE) 2016/679.

(8)

Conformément au règlement (UE) 2016/679, il n’y a pas lieu d’appliquer les principes relatifs à la protection des données aux informations anonymes, à savoir les informations ne concernant pas une personne physique identifiée ou identifiable, ni aux données à caractère personnel rendues anonymes de telle manière que la personne concernée ne soit pas ou plus identifiable. La réidentification des personnes concernées à partir d’ensembles de données anonymisées devrait être interdite. Cette interdiction ne devrait pas porter atteinte à la possibilité de mener des recherches sur des techniques d’anonymisation, en particulier en vue de garantir la sécurité des informations, de renforcer les techniques d’anonymisation existantes et de contribuer à la fiabilité générale de l’anonymisation, en conformité avec le règlement (UE) 2016/679.

(9)

Afin de faciliter la protection des données à caractère personnel et des données confidentielles et d’accélérer le processus de mise à disposition de ces données en vue de leur réutilisation au titre du présent règlement, les États membres devraient encourager les organismes du secteur public à créer et à mettre à disposition des données conformément au principe d’«ouverture dès la conception et par défaut» visé à l’article 5, paragraphe 2, de la directive (UE) 2019/1024, ainsi qu’à promouvoir la création et l’acquisition de données selon des formats et des structures qui facilitent l’anonymisation à cet égard.

(10)

Les catégories de données détenues par des organismes du secteur public qui devraient faire l’objet d’une réutilisation en vertu du présent règlement ne relèvent pas du champ d’application de la directive (UE) 2019/1024, qui exclut les données qui ne sont pas accessibles pour des raisons de confidentialité commerciale ou de secret statistique et les données contenues dans des œuvres ou autres objets pour lesquels des tiers détiennent les droits de propriété intellectuelle. Les données commerciales confidentielles comprennent les données protégées par le secret d’affaires, le savoir-faire protégé et toute autre information dont la divulgation abusive aurait une incidence sur la position sur le marché ou la santé financière de l’entreprise. Le présent règlement devrait s’appliquer aux données à caractère personnel qui ne relèvent pas du champ d’application de la directive (UE) 2019/1024 dans la mesure où les règles d’accès excluent ou limitent l’accès à ces données pour des motifs de protection des données, de protection de la vie privée et d’intégrité de la personne physique, en particulier au regard des règles relatives à la protection des données. La réutilisation de données susceptibles de contenir des secrets d’affaires devrait se faire sans préjudice de la directive (UE) 2016/943, qui fixe le cadre pour l’obtention, l’utilisation ou la divulgation licites des secrets d’affaires.

(11)

Le présent règlement ne devrait pas créer une obligation d’autoriser la réutilisation des données détenues par les organismes du secteur public. En particulier, chaque État membre devrait par conséquent pouvoir décider si les données sont rendues accessibles à des fins de réutilisation, y compris en ce qui concerne les finalités et la portée de cet accès. Le présent règlement devrait compléter les obligations plus spécifiques que le droit sectoriel de l’Union ou le droit sectoriel national impose aux organismes du secteur public pour autoriser la réutilisation de données, et il devrait être sans préjudice de ces obligations. L’accès du public aux documents officiels peut être considéré comme étant dans l’intérêt public. Compte tenu du rôle joué par l’accès du public aux documents officiels et par la transparence dans une société démocratique, le présent règlement devrait également être sans préjudice du droit de l’Union ou du droit national relatif à l’octroi de l’accès aux documents officiels et à leur divulgation. L’accès aux documents officiels peut notamment être octroyé conformément au droit national sans imposer de conditions spécifiques ou en imposant des conditions spécifiques qui ne sont pas prévues par le présent règlement.

(12)

Le régime de réutilisation prévu par le présent règlement devrait s’appliquer aux données dont la fourniture est une activité qui relève des missions de service public dévolues aux organismes du secteur public concernés en vertu de la loi ou d’autres règles contraignantes en vigueur dans les États membres. En l’absence de telles règles, les missions de service public devraient être définies conformément aux pratiques administratives courantes dans les États membres, sous réserve que l’objet de ces missions soit transparent et soumis à réexamen. Les missions de service public pourraient être définies à titre général ou au cas par cas pour les différents organismes du secteur public. Étant donné que les entreprises publiques ne sont pas couvertes par la définition d’organisme du secteur public, les données que détiennent les entreprises publiques ne devraient pas être couvertes par le présent règlement. Les données détenues par des établissements culturels, tels que les bibliothèques, les archives et les musées ainsi que les orchestres, les opéras, les ballets et les théâtres, et par des établissements d’enseignement ne devraient pas être couvertes par le présent règlement puisque les œuvres et autres documents que détiennent ces établissements sont principalement couverts par des droits de propriété intellectuelle détenus par des tiers. Les organismes exerçant une activité de recherche et les organisations finançant une activité de recherche pourraient aussi être organisés comme des organismes du secteur public ou des organismes de droit public.

Le présent règlement devrait s’appliquer à ces organismes hybrides uniquement en leur qualité d’organismes exerçant une activité de recherche. Si un organisme exerçant une activité de recherche détient des données dans le cadre d’une association public-privé spécifique avec des organismes du secteur privé ou d’autres organismes du secteur public, des organismes de droit public ou des organismes hybrides exerçant une activité de recherche, c’est-à-dire organisés soit en tant qu’organismes du secteur public soit en tant qu’entreprises publiques, dans le but principal d’effectuer des recherches, ces données ne devraient pas non plus être couvertes par le présent règlement. Le cas échéant, les États membres devraient pouvoir appliquer le présent règlement aux entreprises publiques ou aux entreprises privées qui exercent des fonctions du secteur public ou fournissent des services d’intérêt général. L’échange de données, effectué exclusivement dans le cadre de leurs missions de service public, entre des organismes du secteur public dans l’Union ou entre des organismes du secteur public dans l’Union et des organismes du secteur public dans des pays tiers ou des organisations internationales, ainsi que l’échange de données entre chercheurs à des fins de recherche scientifique non commerciale, ne devraient pas être soumis aux dispositions du présent règlement concernant la réutilisation de certaines catégories de données protégées détenues par des organismes du secteur public.

(13)

Les organismes du secteur public devraient respecter le droit de la concurrence lorsqu’ils établissent les principes régissant la réutilisation des données qu’ils détiennent, en évitant la conclusion d’accords qui pourraient avoir pour objet ou pour effet de créer des droits d’exclusivité pour la réutilisation de certaines données. De tels accords ne devraient être possibles que lorsque cela est justifié et nécessaire en vue de la fourniture d’un service ou d’un produit dans l’intérêt général. Tel peut être le cas lorsque l’utilisation exclusive des données est le seul moyen de maximiser les avantages sociétaux des données en question, par exemple lorsqu’il n’existe qu’une seule entité (spécialisée dans le traitement d’un ensemble de données particulier) capable de fournir le service ou le produit permettant à l’organisme du secteur public de fournir un service ou un produit dans l’intérêt général. De tels accords devraient toutefois être conclus conformément au droit de l’Union ou au droit national applicable et pouvoir faire l’objet d’un réexamen régulier sur la base d’une analyse de marché, afin de déterminer si cette exclusivité reste nécessaire. En outre, ces accords devraient respecter les règles applicables en matière d’aides d’État, le cas échéant, et être conclus pour une durée limitée qui ne devrait pas dépasser douze mois. Dans un souci de transparence, ces accords d’exclusivité devraient être publiés en ligne, sous une forme conforme au droit de l’Union applicable en matière de marchés publics. Lorsqu’un droit d’exclusivité pour la réutilisation des données ne respecte pas le présent règlement, il ne devrait pas être valide.

(14)

Lorsqu’ils ont été conclus ou étaient déjà en place avant la date d’entrée en vigueur du présent règlement, les accords d’exclusivité interdits et les autres pratiques ou arrangements portant sur la réutilisation des données détenues par des organismes du secteur public qui ne confèrent pas expressément de droits d’exclusivité mais dont on peut raisonnablement s’attendre à ce qu’ils restreignent la disponibilité des données à des fins de réutilisation ne devraient pas être renouvelés à leur terme. Dans le cas d’accords à durée indéterminée ou à long terme, la résiliation devrait intervenir dans un délai de trente mois à compter de la date d’entrée en vigueur du présent règlement.

(15)

Il convient que le présent règlement fixe les conditions de réutilisation des données protégées qui s’appliquent aux organismes du secteur public désignés comme compétents en vertu du droit national pour octroyer ou refuser l’accès à des fins de réutilisation, et qui s’entendent sans préjudice des droits ou obligations concernant l’accès à ces données. Ces conditions devraient être non discriminatoires, transparentes, proportionnées et objectivement justifiées, sans restreindre la concurrence, l’accent étant mis sur la promotion de l’accès à ces données par les PME et les jeunes pousses. Les conditions de réutilisation devraient être conçues de manière à promouvoir la recherche scientifique afin que, par exemple, le fait de privilégier la recherche scientifique puisse en principe être considéré comme non discriminatoire. Les organismes du secteur public autorisant la réutilisation devraient disposer des moyens techniques nécessaires pour assurer la protection des droits et intérêts des tiers et être habilités à demander les informations nécessaires au réutilisateur. Les conditions liées à la réutilisation des données devraient être limitées à ce qui est nécessaire pour préserver les droits et intérêts des tiers à l’égard des données, ainsi que l’intégrité des systèmes d’information et de communication des organismes du secteur public. Ces derniers devraient appliquer des conditions qui servent au mieux les intérêts du réutilisateur sans entraîner de charge disproportionnée pour les organismes du secteur public. Les conditions liées à la réutilisation des données devraient être conçues de manière à offrir des garanties efficaces en matière de protection des données à caractère personnel. Avant leur transmission, les données à caractère personnel devraient être anonymisées, afin d’empêcher l’identification des personnes concernées, et les données contenant des informations commerciales confidentielles devraient être modifiées de telle sorte qu’aucune information confidentielle ne soit divulguée. Dans le cas où la fourniture de données anonymisées ou modifiées ne permettrait pas de répondre aux besoins du réutilisateur, sous réserve de satisfaire à toutes les exigences découlant des articles 35 et 36 du règlement (UE) 2016/679 qui imposent d’effectuer une analyse d’impact relative à la protection des données et de consulter l’autorité de contrôle, et lorsqu’il a été constaté que les risques pour les droits et les intérêts des personnes concernées sont minimes, la réutilisation des données dans un environnement de traitement sécurisé, sur place ou à distance, pourrait être autorisée.

Il pourrait s’agir d’un arrangement approprié pour la réutilisation des données pseudonymisées. Les analyses de données dans ces environnements de traitement sécurisés devraient être supervisées par l’organisme du secteur public, afin de protéger les droits et intérêts des tiers. En particulier, des données à caractère personnel ne devraient être transmises à un tiers à des fins de réutilisation que lorsqu’une base juridique au titre du droit sur la protection des données autorise une telle transmission. Les données à caractère non personnel ne devraient être transmises que lorsqu’il n’y a aucune raison de penser que la combinaison d’ensembles de données à caractère non personnel conduirait à l’identification des personnes concernées. Cela devrait également s’appliquer aux données pseudonymisées qui conservent leur statut de données à caractère personnel. En cas de réidentification de personnes concernées, une obligation de notifier une telle violation de données à l’organisme du secteur public devrait s’appliquer en plus d’une obligation de notifier cette violation de données à une autorité de contrôle et à la personne concernée conformément au règlement (UE) 2016/679. Le cas échéant, les organismes du secteur public devraient faciliter la réutilisation des données fondée sur le consentement des personnes concernées ou l’autorisation des détenteurs de données quant à la réutilisation des données les concernant, par des moyens techniques appropriés. À cet égard, l’organisme du secteur public devrait tout mettre en oeuvre pour aider les réutilisateurs potentiels à solliciter un tel consentement ou une telle autorisation, en mettant en place des mécanismes techniques permettant la transmission des demandes de consentement ou d’autorisation émanant des réutilisateurs, lorsque cela est réalisable en pratique. Les coordonnées permettant aux utilisateurs de prendre directement contact avec les personnes concernées ou les détenteurs de données ne devraient pas être communiquées. Lorsque l’organisme du secteur public transmet une demande de consentement ou d’autorisation, il devrait veiller à ce que la personne concernée ou le détenteur de données soit clairement informé de la possibilité de refuser de donner son consentement ou son autorisation.

(16)

Afin de faciliter et d’encourager l’utilisation des données détenues par des organismes du secteur public à des fins de recherche scientifique, ces organismes sont encouragés à élaborer une approche harmonisée et des procédures harmonisées pour rendre ces données facilement accessibles aux fins de la recherche scientifique dans l’intérêt public. Il pourrait s’agir, entre autres, de mettre en place des procédures administratives rationalisées, des formats de données normalisés, des métadonnées informatives sur les choix méthodologiques et les choix en matière de collecte de données, ainsi que des champs de données normalisés qui permettent de chainer aisément des ensembles de données provenant de différentes sources de données du secteur public, lorsque cela est pertinent à des fins d’analyse. L’objectif de ces pratiques devrait être de promouvoir des données financées et produites par les pouvoirs publics à des fins de recherche scientifique, conformément au principe «aussi ouvert que possible, aussi fermé que nécessaire».

(17)

Le présent règlement ne devrait pas porter atteinte aux droits de propriété intellectuelle détenus par des tiers. Le présent règlement ne devrait pas non plus porter atteinte à l’existence des droits de propriété intellectuelle des organismes du secteur public ou à la qualité de titulaires de droits de propriété intellectuelle de ces organismes, de même qu’il ne devrait restreindre en aucune manière l’exercice de ces droits. Les obligations imposées conformément au présent règlement ne devraient s’appliquer que dans la mesure où elles sont compatibles avec les accords internationaux sur la protection des droits de propriété intellectuelle, notamment la convention de Berne pour la protection des œuvres littéraires et artistiques (convention de Berne), l’accord sur les aspects des droits de propriété intellectuelle qui touchent au commerce (accord sur les ADPIC) et le traité de l’Organisation mondiale de la propriété intellectuelle sur le droit d’auteur (WCT), ainsi qu’avec le droit de la propriété intellectuelle de l’Union ou national. Les organismes du secteur public devraient, toutefois, exercer leurs droits d’auteur d’une manière qui facilite la réutilisation des données.

(18)

Les données faisant l’objet de droits de propriété intellectuelle ainsi que les secrets d’affaires ne devraient être transmis à un tiers que si cette transmission est licite en vertu du droit de l’Union ou du droit national ou avec l’accord du titulaire des droits. Lorsque les organismes du secteur public sont titulaires du droit du fabricant d’une base de données prévu à l’article 7, paragraphe 1, de la directive 96/9/CE du Parlement européen et du Conseil (26), ils ne devraient pas exercer ce droit dans le but de prévenir la réutilisation de données ou de restreindre la réutilisation au-delà des limites fixées par le présent règlement.

(19)

Les entreprises et les personnes concernées devraient pouvoir avoir la certitude que la réutilisation de certaines catégories de données protégées qui sont détenues par les organismes du secteur public se fera dans le respect de leurs droits et intérêts. Des garanties supplémentaires devraient dès lors être mises en place pour les situations dans lesquelles la réutilisation de telles données du secteur public a lieu sur la base d’un traitement des données en dehors du secteur public, comme l’obligation pour les organismes du secteur public de veiller à ce que les droits et intérêts des personnes physiques et morales soient pleinement protégés, en particulier en ce qui concerne les données à caractère personnel, les données commercialement sensibles et les droits de propriété intellectuelle, dans tous les cas, y compris lorsque ces données sont transférées vers des pays tiers. Les organismes du secteur public ne devraient pas autoriser la réutilisation des informations stockées dans les applications de santé en ligne par des entreprises d’assurance ou tout autre prestataire de services à des fins de discrimination dans la fixation des prix, car cela irait à l’encontre du droit fondamental d’accès aux soins de santé.

(20)

En outre, afin de préserver une concurrence loyale et une économie de marché ouverte, il est de la plus haute importance de préserver les données protégées à caractère non personnel, en particulier les secrets d’affaires, mais aussi les données à caractère non personnel représentant des contenus protégés par des droits de propriété intellectuelle, contre tout accès illicite susceptible de conduire à un vol de propriété intellectuelle ou à de l’espionnage industriel. Afin de garantir la protection des droits ou des intérêts des détenteurs de données, il devrait être possible de transférer les données à caractère non personnel qui doivent être protégées contre un accès illicite ou non autorisé conformément au droit de l’Union ou au droit national et qui sont détenues par des organismes du secteur public vers des pays tiers, mais uniquement lorsque des garanties appropriées sont prévues pour l’utilisation des données. Parmi ces garanties appropriées devrait figurer l’obligation pour l’organisme du secteur public de ne transmettre des données protégées à un réutilisateur que si ledit réutilisateur prend des engagements contractuels dans l’intérêt de la protection des données. Un réutilisateur ayant l’intention de transférer les données protégées vers un pays tiers devrait respecter les obligations prévues dans le présent règlement, même après le transfert des données vers le pays tiers. Afin de garantir la bonne exécution de ces obligations, le réutilisateur devrait également admettre, pour le règlement judiciaire des litiges, la compétence de l’État membre de l’organisme du secteur public qui a autorisé la réutilisation.

(21)

La mise en place de garanties appropriées devrait également être envisagée lorsque, dans le pays tiers vers lequel des données à caractère non personnel sont transférées, il existe des mesures équivalentes garantissant que les données bénéficient d’un niveau de protection similaire à celui qui est applicable en vertu du droit de l’Union, notamment en ce qui concerne la protection des secrets d’affaires et les droits de propriété intellectuelle. À cette fin, la Commission devrait pouvoir déclarer, par voie d’actes d’exécution, lorsque cela est justifié en raison d’un grand nombre de demandes dans l’ensemble de l’Union concernant la réutilisation de données à caractère non personnel dans des pays tiers déterminés, qu’un pays tiers offre un niveau de protection essentiellement équivalent à celui prévu par le droit de l’Union. La Commission devrait évaluer la nécessité de tels actes d’exécution sur la base des informations fournies par les États membres par l’intermédiaire du comité européen de l’innovation dans le domaine des données. De tels actes d’exécution permettraient de garantir aux organismes du secteur public que la réutilisation, dans le pays tiers concerné, de données détenues par les organismes du secteur public ne risque pas de compromettre la nature protégée de ces données. Pour évaluer le niveau de protection offert dans le pays tiers concerné, il convient en particulier de prendre en considération le droit général et sectoriel applicable, y compris en matière de sécurité publique, de défense, de sécurité nationale et de droit pénal, en ce qui concerne l’accès aux données à caractère non personnel et à leur protection, tout accès par les organismes du secteur public de ce pays tiers aux données transférées, l’existence et le fonctionnement effectif d’une ou de plusieurs autorités de contrôle indépendantes qui sont chargées dans le pays tiers de veiller au respect du régime juridique garantissant l’accès à ces données et de le faire appliquer, les engagements internationaux pris par le pays tiers concerné en ce qui concerne la protection des données, ou d’autres obligations découlant de conventions ou d’instruments juridiquement contraignants ainsi que de la participation à des systèmes multilatéraux ou régionaux.

L’existence de voies de droit effectives pour les détenteurs de données, les organismes du secteur public ou les prestataires de services d’intermédiation de données dans le pays tiers concerné revêt une importance particulière dans le contexte du transfert de données à caractère non personnel vers ce pays tiers. Ces garanties devraient donc inclure l’existence de droits opposables et de voies de droit effectives. Ces actes d’exécution devraient être sans préjudice de toute obligation juridique déjà contractée ou de tout arrangement contractuel déjà pris par un réutilisateur dans l’intérêt de la protection des données à caractère non personnel, en particulier des données industrielles, et du droit des organismes du secteur public d’obliger les réutilisateurs à respecter les conditions de réutilisation, conformément au présent règlement.

(22)

Certains pays tiers adoptent des lois, des règlements et d’autres actes juridiques qui visent à transférer directement des données à caractère non personnel dans l’Union, ou à donner aux pouvoirs publics l’accès à de telles données, sous le contrôle de personnes physiques et morales relevant de la juridiction des États membres. Les décisions de juridictions de pays tiers ou les décisions d’autorités administratives de pays tiers qui exigent un tel transfert de données à caractère non personnel ou un accès à de telles données devraient être exécutoires lorsqu’elles sont fondées sur un accord international, tel qu’un traité d’entraide judiciaire, en vigueur entre le pays tiers demandeur et l’Union ou un État membre. Dans certains cas, il peut arriver que l’obligation, découlant du droit d’un pays tiers, de transférer des données à caractère non personnel ou de donner accès à de telles données soit incompatible avec une obligation concurrente de protéger ces données en vertu du droit de l’Union ou du droit national, en particulier en ce qui concerne la protection des droits fondamentaux des personnes physiques ou des intérêts fondamentaux d’un État membre en matière de sécurité nationale ou de défense, ainsi que la protection des données commercialement sensibles et la protection des droits de propriété intellectuelle, y compris les engagements contractuels pris en matière de confidentialité conformément à ce droit. En l’absence d’accords internationaux régissant ces questions, il convient de n’autoriser le transfert de données à caractère non personnel ou l’accès à de telles données que si, en particulier, il a été vérifié que le système juridique du pays tiers exige que les motifs et la proportionnalité de la décision judiciaire ou administrative soient exposés, que la décision judiciaire ou administrative a un caractère spécifique et que l’objection motivée du destinataire peut faire l’objet d’un réexamen dans le pays tiers par une juridiction compétente habilitée à tenir dûment compte des intérêts juridiques pertinents du fournisseur de ces données.

En outre, les organismes du secteur public, les personnes physiques ou morales auxquelles le droit de réutilisation des données a été accordé, les prestataires de services d’intermédiation de données et les organisations altruistes en matière de données reconnues devraient veiller, lorsqu’ils signent des accords contractuels avec d’autres parties privées, à ce que les données à caractère non personnel détenues dans l’Union ne soient accessibles dans des pays tiers ou transférées vers des pays tiers que conformément au droit de l’Union ou au droit national de l’État membre concerné.

(23)

Pour renforcer la confiance dans l’économie des données de l’Union, il est essentiel de veiller à ce que les garanties permettant aux citoyens, au secteur public et aux entreprises de l’Union d’exercer un contrôle sur leurs données stratégiques et sensibles soient appliquées, et à ce que le droit, les valeurs et les normes de l’Union en matière, entre autres, de sécurité, de protection des données et de protection des consommateurs, soient respectés. Afin d’empêcher un accès illicite à des données à caractère non personnel, les organismes du secteur public, les personnes physiques ou morales auxquelles le droit de réutilisation des données a été accordé, les prestataires de services d’intermédiation de données et les organisations altruistes en matière de données reconnues devraient prendre toutes les mesures raisonnables pour empêcher l’accès aux systèmes dans lesquels des données à caractère non personnel sont stockées, y compris le cryptage des données ou des politiques internes. À cette fin, il convient de veiller à ce que les organismes du secteur public, les personnes physiques ou morales auxquelles le droit de réutilisation des données a été accordé, les prestataires de services d’intermédiation de données et les organisations altruistes en matière de données reconnues respectent l’ensemble des normes techniques, codes de conduite et certifications pertinents au niveau de l’Union.

(24)

Afin de développer la confiance dans les mécanismes de réutilisation, il peut être nécessaire d’assortir de conditions plus strictes certains types de données à caractère non personnel dont le caractère hautement sensible peut être reconnu dans des actes législatifs spécifiques futurs de l’Union, en ce qui concerne le transfert vers des pays tiers, si un tel transfert risque de compromettre des objectifs de politique publique de l’Union, conformément aux engagements internationaux. Par exemple, dans le domaine de la santé, certains ensembles de données détenus par des acteurs du système de santé publique, tels que les hôpitaux publics, pourraient être reconnus comme des données relatives à la santé hautement sensibles. Parmi les autres secteurs concernés figurent les transports, l’énergie, l’environnement et la finance. Afin de garantir l’harmonisation des pratiques dans l’ensemble de l’Union, ces types de données publiques à caractère non personnel hautement sensibles devraient être définis par le droit de l’Union, par exemple dans le cadre de l’espace européen des données relatives à la santé ou d’autres dispositions du droit sectoriel. Ces conditions liées au transfert de telles données vers des pays tiers devraient être fixées dans des actes délégués. Elles devraient être proportionnées, non discriminatoires et nécessaires pour protéger des objectifs légitimes de politique publique de l’Union déterminés, tels que la protection de la santé publique, la sécurité, l’environnement, la moralité publique, la protection des consommateurs, la protection de la vie privée et la protection des données à caractère personnel. Les conditions devraient correspondre aux risques mis en évidence en ce qui concerne la sensibilité de ces données, y compris le risque de réidentification des personnes physiques. Ces conditions pourraient comprendre des conditions applicables au transfert ou des arrangements techniques, tels que l’obligation d’utiliser un environnement de traitement sécurisé, des limitations en ce qui concerne la réutilisation des données dans des pays tiers ou les catégories de personnes habilitées à transférer ces données vers des pays tiers ou pouvant y avoir accès dans des pays tiers. Dans des cas exceptionnels, ces conditions pourraient également inclure des restrictions au transfert des données vers des pays tiers afin de protéger l’intérêt public.

(25)

Les organismes du secteur public devraient avoir la possibilité de percevoir des redevances pour la réutilisation des données, mais aussi d’autoriser la réutilisation de ces données moyennant le paiement d’une redevance réduite ou gratuitement, par exemple pour certaines catégories de réutilisation telles que la réutilisation à des fins non commerciales ou à des fins de recherche scientifique, ou la réutilisation par les PME et les jeunes pousses, la société civile et les établissements d’enseignement, de manière à inciter à cette réutilisation pour stimuler la recherche et l’innovation et soutenir des entreprises qui représentent une source importante d’innovation et ont généralement plus de difficultés à collecter elles-mêmes des données pertinentes, conformément aux règles en matière d’aides d’État. Dans ce contexte spécifique, les finalités liées à la recherche scientifique devraient s’entendre comme incluant tout type d’objectif en rapport avec la recherche, quelle que soit la structure organisationnelle ou financière de l’organisme de recherche concerné, à l’exception de la recherche menée par une entreprise ayant pour but la mise au point, l’amélioration ou l’optimisation de produits ou de services. Ces redevances devraient être transparentes, non discriminatoires et limitées aux coûts nécessaires supportés et ne devraient pas restreindre la concurrence. Il convient de rendre publique une liste des catégories de réutilisateurs pour lesquels des redevances réduites ou nulles s’appliquent, assortie des critères utilisés pour établir cette liste.

(26)

Afin d’inciter à la réutilisation de ces catégories de données spécifiques détenues par des organismes du secteur public, les États membres devraient créer un point d’information unique servant d’interface pour les réutilisateurs qui souhaitent réutiliser ces données. Ses attributions devraient s’étendre à plusieurs secteurs et compléter, si nécessaire, les dispositions prises au niveau sectoriel. Le point d’information unique devrait pouvoir s’appuyer sur des moyens automatisés lorsqu’il transmet des demandes d’information ou des demandes de réutilisation. Un contrôle humain suffisant devrait être assuré pendant le processus de transmission. À cette fin, les modalités pratiques existantes, telles que les portails des données ouvertes, pourraient être utilisées. Le point d’information unique devrait disposer d’une liste de ressources comprenant un aperçu de toutes les ressources en données disponibles, y compris, le cas échéant, les ressources en données qui sont disponibles dans les points d’information sectoriels, régionaux ou locaux, ainsi que les informations pertinentes décrivant les données disponibles. En outre, les États membres devraient désigner, établir ou contribuer à établir des organismes compétents pour soutenir les activités des organismes du secteur public autorisant la réutilisation de certaines catégories de données protégées. L’une des tâches qui leur sont confiées peut être d’octroyer l’accès aux données, lorsque le droit sectoriel de l’Union ou le droit sectoriel national l’exige. Ces organismes compétents devraient fournir une assistance aux organismes du secteur public en recourant à des techniques de pointe, notamment en ce qui concerne la meilleure manière de structurer et de stocker les données en vue de les rendre facilement accessibles, en particulier au moyen d’interfaces de programmation d’applications, et de rendre les données interopérables, transférables et interrogeables, en tenant compte des meilleures pratiques en matière de traitement des données et de toutes les normes réglementaires et techniques existantes ainsi que des environnements sécurisés pour le traitement des données, qui permettent l’analyse des données d’une manière qui préserve le caractère privé des informations.

Les organismes compétents devraient agir conformément aux instructions reçues de l’organisme du secteur public. Une telle structure d’assistance pourrait aider les personnes concernées et les détenteurs de données dans la gestion du consentement ou de l’autorisation de réutilisation, y compris en ce qui concerne le consentement et l’autorisation relatifs à certains domaines de la recherche scientifique, dans le respect des normes éthiques reconnues en matière de recherche scientifique. Les organismes compétents ne devraient pas avoir de fonction de contrôle, celle-ci étant réservée aux autorités de contrôle au titre du règlement (UE) 2016/679. Sans préjudice des pouvoirs de contrôle conférés aux autorités chargées de la protection des données, le traitement des données devrait être réalisé sous la responsabilité de l’organisme du secteur public responsable du registre contenant les données, qui reste un responsable du traitement des données tel qu’il est défini dans le règlement (UE) 2016/679 en ce qui concerne les données à caractère personnel. Les États membres devraient pouvoir se doter d’un ou de plusieurs organismes compétents, qui pourraient agir dans différents secteurs. Les services internes des organismes du secteur public pourraient également faire office d’organismes compétents. Un organisme compétent pourrait être un organisme du secteur public qui aide d’autres organismes du secteur public à autoriser la réutilisation de données, le cas échéant, ou un organisme du secteur public autorisant lui-même la réutilisation. L’assistance apportée à d’autres organismes du secteur public devrait impliquer de les informer, sur demande, des meilleures pratiques concernant la manière de satisfaire aux exigences prévues par le présent règlement, par exemple en ce qui concerne les moyens techniques permettant de mettre à disposition un environnement de traitement sécurisé ou de garantir le respect de la vie privée et la confidentialité lorsqu’un accès est donné pour la réutilisation des données relevant du champ d’application du présent règlement.

(27)

Les services d’intermédiation de données sont appelés à jouer un rôle essentiel dans l’économie des données, notamment en soutenant et en promouvant les pratiques volontaires de partage de données entre les entreprises, ou en facilitant le partage de données dans le cadre des obligations fixées par le droit de l’Union ou le droit national. Ils pourraient devenir un outil facilitant l’échange de quantités substantielles de données pertinentes. Les prestataires de services d’intermédiation de données, lesquels peuvent comprendre des organismes du secteur public, qui proposent des services mettant en relation les différents acteurs contribuent potentiellement à la mise en commun efficace des données ainsi qu’à la facilitation du partage bilatéral des données. Les services d’intermédiation de données spécialisés qui sont indépendants des personnes concernées, des détenteurs de données et des utilisateurs de données pourraient jouer un rôle de facilitation dans l’émergence de nouveaux écosystèmes fondés sur les données qui soient indépendants de tout acteur jouissant d’une puissance significative sur le marché, tout en permettant un accès non discriminatoire à l’économie des données pour les entreprises de toutes tailles, notamment les PME et les jeunes pousses disposant de moyens financiers, juridiques ou administratifs limités. Cela revêtira une importance particulière dans la perspective de la création d’espaces européens communs de données, c’est-à-dire de cadres interopérables spécifiques à chaque finalité ou à chaque secteur ou transsectoriels de normes et de pratiques communes visant à partager ou à traiter conjointement des données aux fins, entre autres, de la mise au point de nouveaux produits et services, de la recherche scientifique ou d’initiatives de la société civile. Les services d’intermédiation de données pourraient inclure le partage bilatéral ou multilatéral de données ou la création de plateformes ou de bases de données permettant l’échange ou l’exploitation conjointe de données, ainsi que la mise en place d’une infrastructure spécifique pour l’interconnexion des personnes concernées et des détenteurs de données avec les utilisateurs de données.

(28)

Le présent règlement devrait concerner les services qui visent à établir, par des moyens techniques, juridiques ou autres, des relations commerciales à des fins de partage de données entre un nombre indéterminé de personnes concernées et de détenteurs de données, d’une part, et des utilisateurs de données, d’autre part, y compris aux fins de l’exercice des droits des personnes concernées à l’égard des données à caractère personnel. Lorsque des entreprises ou autres entités proposent de multiples services liés aux données, seules les activités qui concernent directement la fourniture de services d’intermédiation de données devraient être couvertes par le présent règlement. La fourniture de services de stockage en nuage, d’analyse, de logiciels de partage de données, de navigateurs internet, de modules d’extension de navigateurs ou de services de messagerie électronique ne devrait pas être considérée comme une fourniture de services d’intermédiation de données au sens du présent règlement, à condition que ces services ne fournissent que des outils techniques permettant aux personnes concernées ou aux détenteurs de données de partager des données avec d’autres personnes, mais que la fourniture de tels outils ne vise ni à établir une relation commerciale entre les détenteurs de données et les utilisateurs de données, ni à permettre au prestataire de services d’intermédiation de données d’obtenir des informations sur l’établissement de relations commerciales à des fins de partage de données. Parmi les exemples de services d’intermédiation de données figurent les places de marché de données sur lesquelles les entreprises pourraient mettre des données à la disposition de tiers, les maîtres d’œuvre d’écosystèmes de partage de données ouverts à toutes les parties intéressées, par exemple dans le cadre d’espaces européens communs de données, ainsi que les réserves de données mises en place conjointement par plusieurs personnes morales ou physiques dans le but de concéder à toutes les parties intéressées des licences d’utilisation de ces réserves de données, de façon à ce que tous les participants qui contribuent aux réserves de données reçoivent une contrepartie pour leur contribution.

En seraient exclus les services qui obtiennent des données auprès des détenteurs de données et les agrègent, les enrichissent ou les transforment afin d’en accroître substantiellement la valeur et concèdent une licence d’utilisation des données résultantes aux utilisateurs de données, sans établir de relation commerciale entre les détenteurs de données et les utilisateurs de données. Seraient également exclus les services qui sont à l’usage exclusif d’un seul détenteur de données pour lui permettre d’utiliser les données qu’il détient, ou qui sont utilisés par des personnes morales multiples au sein d’un groupe fermé, y compris dans le cadre de relations de fournisseur ou de client ou de collaborations établies par contrat, en particulier ceux qui ont pour principal objectif de garantir les fonctionnalités d’objets et de dispositifs connectés à l’internet des objets.

(29)

Les services axés sur l’intermédiation de contenus protégés par le droit d’auteur, tels que les fournisseurs de services de partage de contenus en ligne au sens de l’article 2, point 6), de la directive (UE) 2019/790, ne devraient pas être couverts par le présent règlement. Les fournisseurs de système consolidé de publication, définis à l’article 2, paragraphe 1, point 35), du règlement (UE) no 600/2014 du Parlement européen et du Conseil (27) et les prestataires de services d’information sur les comptes définis à l’article 4, point 19), de la directive (UE) 2015/2366 du Parlement européen et du Conseil (28), ne devraient pas être considérés comme des prestataires de services d’intermédiation de données aux fins du présent règlement. Le présent règlement ne devrait pas s’appliquer aux services proposés par des organismes du secteur public afin de faciliter soit la réutilisation de données protégées détenues par les organismes du secteur public conformément au présent règlement, soit l’utilisation de toute autre donnée, dans la mesure où ces services ne visent pas à établir de relations commerciales. Les organisations altruistes en matière de données qui sont régies par le présent règlement ne devraient pas être considérées comme proposant des services d’intermédiation de données, pour autant que ces services n’établissent pas de relation commerciale entre les utilisateurs potentiels des données, d’une part, et les personnes concernées et les détenteurs de données qui mettent des données à disposition à des fins altruistes, d’autre part. D’autres services qui ne visent pas à établir des relations commerciales, tels que les référentiels visant à permettre la réutilisation des données de la recherche scientifique conformément aux principes du libre accès, ne devraient pas être considérés comme des services d’intermédiation de données au sens du présent règlement.

(30)

Les prestataires de services qui proposent leurs services à des personnes concernées constituent une catégorie spécifique de prestataires de services d’intermédiation de données. Ces prestataires de services d’intermédiation de données cherchent à renforcer la capacité d’action des personnes concernées, et plus particulièrement le contrôle qu’exercent les personnes physiques sur les données les concernant. Ces prestataires devraient aider les personnes physiques à exercer leurs droits au titre du règlement (UE) 2016/679, notamment l’octroi et le retrait de leur consentement au traitement des données, le droit d’accès à leurs propres données, le droit de rectification des données à caractère personnel inexactes, le droit à l’effacement ou droit «à l’oubli», le droit à la limitation du traitement, et le droit à la portabilité des données qui permet aux personnes concernées de transférer leurs données à caractère personnel d’un responsable du traitement des données à un autre. Dans ce contexte, il importe que le modèle commercial de ces prestataires garantisse qu’il n’existe pas d’incitations inadaptées poussant les personnes physiques à recourir à de tels services pour mettre à disposition, en vue d’un traitement, davantage de données les concernant qu’elles ne devraient le faire dans leur intérêt. Les prestataires pourraient notamment conseiller les personnes physiques sur les utilisations potentielles de leurs données et pratiquer des contrôles de diligence raisonnable à l’égard des utilisateurs de données avant de les autoriser à contacter les personnes concernées, afin d’éviter des pratiques frauduleuses. Dans certaines circonstances, il pourrait être souhaitable de compiler des données réelles dans un espace de données à caractère personnel, de telle sorte que le traitement puisse avoir lieu dans cet espace sans que les données à caractère personnel soient transmises à des tiers, afin d’assurer une protection maximale des données à caractère personnel et de la vie privée. Ces espaces de données à caractère personnel pourraient contenir des données à caractère personnel statiques, telles que le nom, l’adresse ou la date de naissance, ainsi que des données dynamiques qu’une personne physique génère, par exemple, lorsqu’elle recourt à un service en ligne ou à un objet connecté à l’internet des objets. Ils pourraient aussi être utilisés pour stocker des données d’identification vérifiées telles que le numéro de passeport ou les informations relatives à la sécurité sociale, ainsi que des justificatifs tels que permis de conduire, diplômes ou coordonnées de compte bancaire.

(31)

Les coopératives de données visent à atteindre un certain nombre d’objectifs, et notamment à renforcer la position des personnes physiques en leur permettant de faire des choix en connaissance de cause avant de donner leur consentement à l’utilisation des données, en influant sur les conditions et modalités appliquées par les organisations d’utilisateurs de données à l’utilisation des données d’une manière qui offre de meilleurs choix aux membres individuels du groupe ou en trouvant, le cas échéant, des solutions aux conflits de positions des membres individuels d’un groupe sur la manière d’utiliser les données lorsque celles-ci portent sur plusieurs personnes concernées au sein de ce groupe. Dans ce contexte, il importe de tenir compte du fait que les droits consacrés par le règlement (UE) 2016/679 sont des droits personnels de la personne concernée et que les personnes concernées ne peuvent y renoncer. Les coopératives de données pourraient également constituer un outil utile pour les entreprises unipersonnelles et les PME, qui sont souvent comparables à des personnes physiques en termes de connaissance du partage des données.

(32)

Afin d’accroître la confiance dans ces services d’intermédiation de données, notamment en ce qui concerne l’utilisation des données et le respect des conditions imposées par les personnes concernées et les détenteurs de données, il est nécessaire de créer un cadre réglementaire à l’échelle de l’Union qui fixe des exigences largement harmonisées concernant la prestation fiable de ces services d’intermédiation de données et qui soit mis en œuvre par les autorités compétentes. Ce cadre contribuera à renforcer le contrôle que les personnes concernées et les détenteurs de données ainsi que les utilisateurs de données exercent sur l’accès à leurs données et sur l’utilisation de celles-ci, conformément au droit de l’Union. La Commission pourrait également encourager et faciliter l’élaboration de codes de conduite au niveau de l’Union, en associant les parties prenantes concernées, en particulier en ce qui concerne l’interopérabilité. Tant dans les situations où le partage de données intervient entre entreprises que dans celles où il intervient entre entreprises et consommateurs, les prestataires de services d’intermédiation de données devraient proposer une nouvelle gouvernance des données «à l’européenne», en prévoyant une séparation, dans l’économie des données, entre fourniture, intermédiation et utilisation des données. Les prestataires de services d’intermédiation de données pourraient également mettre à disposition une infrastructure technique spécifique pour l’interconnexion des personnes concernées et des détenteurs de données avec les utilisateurs de données. À cet égard, il est particulièrement important de façonner cette infrastructure de telle sorte que les PME et les jeunes pousses ne rencontrent aucune barrière technique ni d’autres barrières à leur participation à l’économie des données.

Les prestataires de services d’intermédiation de données devraient être autorisés à fournir, aux détenteurs de données ou aux personnes concernées, des outils et services spécifiques supplémentaires visant spécifiquement à faciliter l’échange de données, tels que le stockage temporaire, l’organisation, la conversion, l’anonymisation et la pseudonymisation. Ces outils et services ne devraient être utilisés qu’à la demande expresse ou que moyennant l’approbation expresse du détenteur de données ou de la personne concernée et les outils de tiers proposés dans ce contexte ne devraient pas utiliser les données à d’autres fins. Parallèlement, les prestataires de services d’intermédiation de données devraient être autorisés à apporter des adaptations aux données échangées afin d’améliorer la facilité d’utilisation des données par l’utilisateur de données, si ce dernier le souhaite, ou d’améliorer l’interopérabilité, par exemple en convertissant les données dans des formats spécifiques.

(33)

Il est important de favoriser un environnement compétitif pour le partage des données. La neutralité des prestataires de services d’intermédiation de données à l’égard des données échangées entre les détenteurs de données ou les personnes concernées et les utilisateurs de données est fondamentale pour renforcer la confiance et accroître le contrôle des détenteurs de données, des personnes concernées et des utilisateurs de données à l’égard des services d’intermédiation de données. Il est donc nécessaire que les prestataires de services d’intermédiation de données agissent uniquement en tant qu’intermédiaires dans les transactions, et qu’ils n’utilisent les données échangées à aucune autre fin. Les conditions commerciales, y compris la tarification, pour la fourniture de services d’intermédiation de données ne devraient pas dépendre du fait qu’un détenteur ou un utilisateur potentiel de données utilise d’autres services fournis par le même prestataire de services d’intermédiation de données ou par une entité liée à lui, notamment le stockage, l’analyse, l’intelligence artificielle ou d’autres applications fondées sur les données, ni, le cas échéant, de la mesure dans laquelle le détenteur de données ou l’utilisateur de données utilise ces autres services. Cela nécessitera également une séparation structurelle entre le service d’intermédiation de données et tout autre service fourni, afin d’éviter des conflits d’intérêts. Cela signifie que le service d’intermédiation de données devrait être fourni par une personne morale distincte des autres activités dudit prestataire de services d’intermédiation de données. Toutefois, les prestataires de services d’intermédiation de données devraient pouvoir utiliser les données fournies par le détenteur de données pour améliorer leurs services d’intermédiation de données.

Les prestataires de services d’intermédiation de données ne devraient être en mesure de mettre à la disposition des détenteurs de données, des personnes concernées ou des utilisateurs de données leurs propres outils ou les outils de tiers aux fins de faciliter l’échange de données, tels que des outils de conversion ou d’organisation de données, qu’à la demande expresse ou que moyennant l’approbation expresse de la personne concernée ou du détenteur de données. Les outils de tiers proposés dans ce contexte ne devraient pas utiliser les données à des fins autres que celles liées aux services d’intermédiation de données. Les prestataires de services d’intermédiation de données agissant en tant qu’intermédiaires dans l’échange de données entre des personnes physiques qui sont des personnes concernées et des personnes morales qui sont des utilisateurs de données devraient, en outre, assumer un devoir de loyauté à l’égard des personnes physiques, pour garantir qu’ils agissent au mieux des intérêts des personnes concernées. Les questions de responsabilité pour tous les dommages et préjudices matériels et immatériels résultant d’un comportement du prestataire de services d’intermédiation de données pourraient être traitées dans le contrat concerné, sur la base des régimes nationaux en matière de responsabilité.

(34)

Les prestataires de services d’intermédiation de données devraient prendre des mesures raisonnables pour assurer l’interopérabilité au sein d’un secteur et entre les différents secteurs afin d’assurer le bon fonctionnement du marché intérieur. Parmi les mesures raisonnables pourrait figurer le respect des normes en vigueur et couramment mises en œuvre dans le secteur dans lequel les prestataires de services d’intermédiation de données exercent leurs activités. Le comité européen de l’innovation dans le domaine des données devrait faciliter l’émergence de normes industrielles supplémentaires, si nécessaire. Les prestataires de services d’intermédiation de données devraient, en temps utile, mettre en œuvre les mesures d’interopérabilité entre les services d’intermédiation de données adoptées par le comité européen de l’innovation dans le domaine des données.

(35)

Le présent règlement est sans préjudice de l’obligation qui est faite aux prestataires de services d’intermédiation de données de respecter le règlement (UE) 2016/679 et de la responsabilité qui incombe aux autorités de contrôle de veiller au respect dudit règlement. Lorsque les prestataires de services d’intermédiation de données traitent des données à caractère personnel, le présent règlement ne devrait pas avoir d’incidence sur la protection de ces données. Lorsque les prestataires de services d’intermédiation de données sont des responsables du traitement ou des sous-traitants au sens du règlement (UE) 2016/679, ils sont liés par les règles prévues dans ledit règlement.

(36)

Les prestataires de services d’intermédiation de données devraient avoir mis en place des procédures et des mesures pour sanctionner les pratiques frauduleuses ou abusives en lien avec des parties qui cherchent à obtenir un accès par le biais des services d’intermédiation de données qu’ils proposent, y compris des mesures telles que l’exclusion des utilisateurs de données qui enfreignent les conditions de service ou le droit en vigueur.

(37)

Les prestataires de services d’intermédiation de données devraient également prendre des mesures pour veiller au respect du droit de la concurrence et avoir mis en place des procédures à cette fin. Cela vaut en particulier dans les situations où le partage de données permet aux entreprises de prendre connaissance des stratégies de marché de leurs concurrents réels ou potentiels. Parmi ces informations sensibles sous l’angle de la concurrence, on trouve généralement des informations sur les données relatives aux clients, les prix futurs, les coûts de production, les quantités, les chiffres d’affaires, les ventes ou les capacités.

(38)

Une procédure de notification pour les services d’intermédiation de données devrait être mise en place afin de garantir que la gouvernance des données au sein de l’Union est fondée sur un échange de données digne de confiance. Le meilleur moyen de tirer avantage d’un environnement digne de confiance serait d’imposer un certain nombre d’exigences pour la fourniture de services d’intermédiation de données sans pour autant qu’une décision expresse ou un acte administratif ne soient exigés de l’autorité compétente en matière de services d’intermédiation de données pour la fourniture de tels services. La procédure de notification ne devrait pas créer d’obstacles injustifiés pour les PME, les jeunes pousses et les organisations de la société civile et elle devrait respecter le principe de non-discrimination.

(39)

Afin de favoriser l’efficacité de la prestation transfrontalière de services, le prestataire de services d’intermédiation de données devrait être invité à envoyer une notification uniquement à l’autorité compétente en matière de services d’intermédiation de données de l’État membre dans lequel est situé son établissement principal ou dans lequel se trouve son représentant légal. Une telle notification ne devrait nécessiter qu’une simple déclaration de l’intention de proposer de tels services, assortie uniquement de la mise à disposition des informations énoncées dans le présent règlement. Après la notification concernée, le prestataire de services d’intermédiation de données devrait être en mesure de commencer ses activités dans tout État membre sans autre obligation de notification.

(40)

La procédure de notification prévue par le présent règlement devrait s’entendre sans préjudice des règles spécifiques complémentaires applicables à la fourniture de services d’intermédiation de données en vertu du droit sectoriel.

(41)

L’établissement principal d’un prestataire de services d’intermédiation de données dans l’Union devrait être le lieu de son administration centrale dans l’Union. L’établissement principal d’un prestataire de services d’intermédiation de données dans l’Union devrait être déterminé conformément à des critères objectifs et impliquer l’exercice effectif et réel d’activités de gestion. Les activités d’un prestataire de services d’intermédiation de données devraient respecter le droit national de l’État membre dans lequel il a son établissement principal.

(42)

Afin de garantir le respect par les prestataires de services d’intermédiation de données du présent règlement, il convient qu’ils aient leur établissement principal dans l’Union. Lorsqu’un prestataire de services d’intermédiation de données qui n’est pas établi dans l’Union propose des services à l’intérieur de l’Union, il devrait désigner un représentant légal. La désignation d’un représentant légal est nécessaire dans de telles situations, étant donné que ces prestataires de services d’intermédiation de données traitent des données à caractère personnel ainsi que des données commerciales confidentielles, ce qui nécessite un contrôle étroit du respect, par ces prestataires de services d’intermédiation de données, du présent règlement. Afin de déterminer si un tel prestataire de services d’intermédiation de données propose des services dans l’Union, il convient de vérifier s’il est clair qu’il envisage d’offrir des services à des personnes dans un ou plusieurs États membres. La seule accessibilité, dans l’Union, du site internet ou d’une adresse électronique et d’autres coordonnées du prestataire de services d’intermédiation de données, ou encore l’utilisation d’une langue généralement utilisée dans le pays tiers où le prestataire de services d’intermédiation de données est établi, devraient être considérées comme insuffisantes aux fins de vérifier si telle est son intention. Cependant, des facteurs tels que l’utilisation d’une langue ou d’une monnaie généralement utilisées dans un ou plusieurs États membres avec la possibilité de commander des services dans cette langue ou la mention d’utilisateurs qui se trouvent dans l’Union pourraient indiquer clairement que le prestataire de services d’intermédiation de données envisage d’offrir des services dans l’Union.

Un représentant légal désigné devrait agir pour le compte du prestataire de services d’intermédiation de données et les autorités compétentes en matière de services d’intermédiation de données devraient pouvoir contacter le représentant légal, en plus du prestataire de services d’intermédiation de données ou à la place de celui-ci, y compris en cas d’infraction, aux fins de lancer une procédure d’exécution à l’encontre d’un prestataire de services d’intermédiation de données non établi dans l’Union qui ne respecterait pas ses obligations. Le représentant légal devrait être désigné par un mandat écrit du prestataire de services d’intermédiation de données le chargeant d’agir pour son compte afin de remplir les obligations qui incombent à ce dernier au titre du présent règlement.

(43)

Afin d’aider les personnes concernées et les détenteurs de données à identifier facilement les prestataires de services d’intermédiation de données reconnus dans l’Union et, partant, de renforcer leur confiance en ces derniers, il convient de créer un logo commun reconnaissable dans toute l’Union, outre le label «prestataire de services d’intermédiation de données reconnu dans l’Union».

(44)

Les autorités compétentes en matière de services d’intermédiation de données désignées pour contrôler le respect des exigences du présent règlement par les prestataires de services d’intermédiation de données devraient être choisies sur la base de leurs capacités et de leur expertise en matière de partage de données horizontal ou sectoriel. Elles devraient être indépendantes de tout prestataire de services d’intermédiation de données, transparentes et impartiales dans l’exercice de leurs tâches. Les États membres devraient notifier à la Commission l’identité de ces autorités compétentes en matière de services d’intermédiation de données. Les pouvoirs et compétences des autorités compétentes en matière de services d’intermédiation de données devraient être sans préjudice des pouvoirs des autorités chargées de la protection des données. En particulier, pour toute question nécessitant une évaluation du respect du règlement (UE) 2016/679, l’autorité compétente en matière services d’intermédiation de données devrait solliciter, s’il y a lieu, un avis ou une décision de l’autorité de contrôle compétente instituée en vertu dudit règlement.

(45)

Pour atteindre des objectifs d’intérêt général, nombreuses sont les possibilités offertes par l’utilisation de données mises à disposition volontairement par les personnes concernées sur le fondement de leur consentement éclairé ou, lorsqu’il s’agit de données à caractère non personnel, mises à disposition par des détenteurs de données. Ces objectifs auraient trait notamment aux soins de santé, à la lutte contre le changement climatique, à l’amélioration de la mobilité, à la facilitation du développement, de la production et de la diffusion de statistiques officielles, à l’amélioration de la prestation de services publics ou à l’élaboration des politiques publiques. Le soutien à la recherche scientifique devrait également être considéré comme un objectif d’intérêt général. Le présent règlement devrait viser à contribuer à l’émergence de réserves de données d’une taille suffisante mises à disposition sur le fondement de l’altruisme en matière de données pour permettre l’analyse des données et l’apprentissage automatique, y compris dans l’ensemble de l’Union. Pour atteindre cet objectif, les États membres devraient pouvoir mettre en place des arrangements organisationnels ou techniques, ou les deux, qui faciliteraient l’altruisme en matière de données. Ces arrangements pourraient comprendre la disponibilité d’outils facilement utilisables permettant aux personnes concernées ou aux détenteurs de données de donner leur consentement ou leur autorisation à l’utilisation altruiste de leurs données, l’organisation de campagnes de sensibilisation ou un échange structuré entre les autorités compétentes sur la manière dont les politiques publiques, telles que l’amélioration du trafic, la santé publique et la lutte contre le changement climatique, tirent profit de l’altruisme en matière de données. À cette fin, les États membres devraient pouvoir élaborer des politiques nationales concernant l’altruisme en matière de données. Les personnes concernées ne devraient pouvoir recevoir de compensation que pour les coûts qu’elles supportent lorsqu’elles mettent leurs données à disposition pour des objectifs d’intérêt général.

(46)

L’enregistrement d’organisations altruistes en matière de données reconnues et l’utilisation du label «organisation altruiste en matière de données reconnue dans l’Union» devraient aboutir à la mise en place de référentiels de données. L’enregistrement dans un État membre serait valable dans toute l’Union et devrait faciliter l’utilisation transfrontalière des données au sein de l’Union et l’émergence de réserves de données couvrant plusieurs États membres. Les détenteurs de données pourraient autoriser le traitement de leurs données à caractère non personnel pour une série de finalités non définies au moment où l’autorisation est accordée. Le respect, par de telles organisations altruistes en matière de données reconnues, d’un ensemble d’exigences prévues par le présent règlement devrait susciter la confiance dans le fait que les données mises à disposition à des fins altruistes servent un objectif d’intérêt général. Cette confiance devrait résulter notamment de l’existence d’un lieu d’établissement ou d’un représentant légal dans l’Union, ainsi que de l’obligation pour les entités altruistes en matière de données reconnues d’être des organisations à but non lucratif, des exigences de transparence et des garanties spécifiques mises en place pour protéger les droits et les intérêts des personnes concernées et des entreprises.

D’autres garanties devraient inclure la possibilité de traiter les données pertinentes dans un environnement de traitement sécurisé exploité par les organisations altruistes en matière de données reconnues, des mécanismes de surveillance tels que l’existence de conseils d’éthique ou de conseils d’administration, y compris des représentants de la société civile afin de garantir que le responsable du traitement respecte des normes rigoureuses en matière d’éthique scientifique et de protection des droits fondamentaux, des moyens techniques efficaces et clairement communiqués pour retirer ou modifier son consentement à tout moment, sur la base des obligations d’information incombant aux sous-traitants au titre du règlement (UE) 2016/679, ainsi que des moyens permettant aux personnes concernées de rester informées au sujet de l’utilisation des données qu’elles ont mises à disposition. L’enregistrement en tant qu’organisation altruiste en matière de données reconnue ne devrait pas être une condition préalable à l’exercice d’activités altruistes en matière de données. La Commission devrait, par voie d’actes délégués, préparer un recueil de règles en étroite coopération avec les organisations altruistes en matière de données et les parties prenantes. Le respect de ce recueil de règles devrait constituer une exigence pour l’enregistrement en tant qu’organisation altruiste en matière de données reconnue.

(47)

Afin d’aider les personnes concernées et les détenteurs de données à identifier facilement les organisations altruistes en matière de données reconnues et, partant, de renforcer leur confiance en ces dernières, il convient de créer un logo commun reconnaissable dans toute l’Union. Le logo commun devrait s’accompagner d’un code QR comportant un lien vers le registre public de l’Union des organisations altruistes en matière de données reconnues.

(48)

Le présent règlement devrait être sans préjudice de l’établissement, de l’organisation et du fonctionnement des entités qui souhaitent s’engager dans l’altruisme en matière de données en vertu du droit national et s’inspirer des exigences imposées par le droit national pour exercer des activités légalement dans un État membre en tant qu’organisation à but non lucratif.

(49)

Le présent règlement devrait s’entendre sans préjudice de l’établissement, de l’organisation et du fonctionnement d’entités autres que les organismes du secteur public qui s’engagent dans le partage de données et de contenus sur la base de licences ouvertes, contribuant ainsi à la création de ressources communes accessibles à tous. Cela devrait inclure des plateformes de partage de connaissances collaboratives ouvertes, des référentiels scientifiques et universitaires en libre accès, des plateformes de développement de logiciels ouverts et des plateformes d’agrégation de contenu en libre accès.

(50)

Les organisations altruistes en matière de données reconnues devraient être en mesure de collecter des données pertinentes directement auprès de personnes physiques et morales ou de traiter les données collectées par d’autres. Le traitement des données collectées pourrait être effectué par des organisations altruistes en matière de données à des fins qu’elles définissent elles-mêmes ou, le cas échéant, elles pourraient autoriser le traitement par des tiers à ces fins. Lorsque les organisations altruistes en matière de données reconnues sont des responsables du traitement ou des sous-traitants tels qu’ils sont définis dans le règlement (UE) 2016/679, elles devraient respecter ledit règlement. En règle générale, l’altruisme en matière de données reposerait sur le consentement des personnes concernées, au sens de l’article 6, paragraphe 1, point a), et de l’article 9, paragraphe 2, point a), du règlement (UE) 2016/679, qui devrait respecter les exigences régissant un consentement licite énoncées aux articles 7 et 8 dudit règlement. Conformément au règlement (UE) 2016/679, le consentement donné en ce qui concerne certains domaines de recherche scientifique lorsqu’ils respectent des normes éthiques reconnues en matière de recherche scientifique, ou uniquement en ce qui concerne certains domaines de recherche ou certaines parties de projets de recherche, pourrait soutenir les finalités de la recherche scientifique. L’article 5, paragraphe 1, point b), du règlement (UE) 2016/679 précise que le traitement ultérieur à des fins de recherche scientifique ou historique ou à des fins statistiques ne devrait pas être considéré, conformément à l’article 89, paragraphe 1, dudit règlement, comme incompatible avec les finalités initiales. Pour les données à caractère non personnel, les limitations d’utilisation devraient figurer dans l’autorisation donnée par le détenteur de données.

(51)

Les autorités compétentes pour l’enregistrement des organisations altruistes en matière de données désignées pour contrôler le respect des exigences du présent règlement par les organisations altruistes en matière de données reconnues devraient être choisies sur la base de leurs capacités et de leur expertise. Elles devraient être indépendantes de toute organisation altruiste en matière de données, transparentes et impartiales dans l’exercice de leurs tâches. Les États membres devraient notifier à la Commission l’identité desdites autorités compétentes pour l’enregistrement des organisations altruistes en matière de données. Les pouvoirs et les compétences des autorités compétentes pour l’enregistrement des organisations altruistes en matière de données devraient être sans préjudice des pouvoirs des autorités chargées de la protection des données. En particulier, pour toute question nécessitant une évaluation du respect du règlement (UE) 2016/679, l’autorité compétente pour l’enregistrement des organisations altruistes en matière de données devrait solliciter, s’il y a lieu, un avis ou une décision de l’autorité de contrôle compétente instituée en application dudit règlement.

(52)

Afin de promouvoir la confiance et d’apporter davantage de sécurité juridique et de simplicité à la procédure d’octroi et de retrait du consentement, en particulier dans le cadre de la recherche scientifique et de l’utilisation statistique des données mises à disposition sur une base altruiste, il convient d’élaborer et d’utiliser un formulaire européen de consentement à l’altruisme en matière de données en cas de partage de données altruiste. Un tel formulaire devrait contribuer à accroître la transparence à l’égard des personnes concernées quant au fait que leurs données seront consultées et utilisées conformément à leur consentement et dans le plein respect des règles en matière de protection des données. Il devrait également faciliter l’octroi et le retrait du consentement et être utilisé pour rationaliser l’altruisme en matière de données pratiqué par les entreprises et fournir un mécanisme permettant à ces entreprises de retirer leur autorisation d’utiliser les données. Afin de tenir compte des spécificités de chaque secteur, y compris sur le plan de la protection des données, le formulaire européen de consentement à l’altruisme en matière de données devrait être conçu selon une approche modulaire permettant son adaptation à des secteurs particuliers et pour des finalités différentes.

(53)

Afin de mettre en œuvre avec succès le cadre de gouvernance des données, il convient d’instaurer un comité européen de l’innovation dans le domaine des données, sous la forme d’un groupe d’experts. Le comité européen de l’innovation dans le domaine des données devrait être composé de représentants des autorités compétentes pour les services d’intermédiation de données et des autorités compétentes pour l’enregistrement des organisations altruistes en matière de données de tous les États membres, du comité européen de la protection des données, du Contrôleur européen de la protection des données, de l’Agence de l’Union européenne pour la cybersécurité (ENISA), de la Commission, du représentant de l’UE pour les PME ou d’un représentant désigné par le réseau des représentants des PME, et d’autres représentants d’organismes compétents dans des secteurs particuliers ainsi que d’organismes disposant d’une expertise particulière. Le comité européen de l’innovation dans le domaine des données devrait être composé d’un nombre de sous-groupes, y compris d’un sous-groupe chargé de la participation des parties prenantes composé de représentants compétents issus de l’industrie, notamment dans les domaines de la santé, de l’environnement, de l’agriculture, des transports, de l’énergie, de la fabrication industrielle, des médias, des secteurs de la culture et de la création et des statistiques, ainsi que de la recherche, du monde universitaire, de la société civile, des organismes de normalisation, des espaces européens communs de données pertinents et d’autres parties prenantes concernées et de tiers, entre autres d’organismes possédant une expertise spécifique tels que les instituts nationaux de statistique.

(54)

Le comité européen de l’innovation dans le domaine des données devrait aider la Commission à coordonner les pratiques et les politiques nationales sur les thèmes couverts par le présent règlement et à soutenir l’utilisation transsectorielle des données, en respectant les principes du cadre d’interopérabilité européen et en ayant recours à des normes et spécifications européennes et internationales, notamment à la plateforme européenne multipartite sur la normalisation des TIC, aux vocabulaires de base et aux blocs constitutifs du MIE, et devrait tenir compte des travaux de normalisation menés dans des secteurs ou domaines spécifiques. Les travaux de normalisation technique pourraient inclure la définition de priorités pour l’élaboration de normes et la création et l’actualisation d’un ensemble de normes techniques et juridiques régissant la transmission de données entre deux environnements de traitement afin d’organiser des espaces de données, notamment en clarifiant et en distinguant les normes et pratiques qui sont intersectorielles et celles qui sont sectorielles. Le comité européen de l’innovation dans le domaine des données devrait coopérer avec des organismes, des réseaux ou des groupes d’experts sectoriels, ou toute autre organisation intersectorielle intervenant dans la réutilisation des données. En ce qui concerne l’altruisme en matière de données, le comité européen de l’innovation dans le domaine des données devrait aider la Commission à élaborer le formulaire européen de consentement à l’altruisme en matière de données, après consultation du comité européen de la protection des données. En proposant des lignes directrices sur les espaces européens communs des données, le comité européen de l’innovation dans le domaine des données devrait soutenir le développement d’une économie européenne des données qui fonctionne sur la base de ces espaces de données, comme le prévoit la stratégie européenne pour les données.

(55)

Les États membres devraient fixer des règles en matière de sanctions applicables aux infractions au présent règlement et devraient prendre toutes les mesures nécessaires afin de garantir leur mise en œuvre. Ces sanctions devraient être effectives, proportionnées et dissuasives. D’importantes disparités entre les règles en matière de sanctions pourraient entraîner une distorsion de la concurrence sur le marché unique numérique. L’harmonisation de ces règles pourrait être utile à cet égard.

(56)

Afin de garantir une application efficace du présent règlement et de veiller à ce que les prestataires de services d’intermédiation de données et les entités qui souhaitent s’enregistrer en tant qu’organisations altruistes en matière de données reconnues puissent accéder aux procédures de notification et d’enregistrement et les mener à bien intégralement en ligne et par-delà les frontières, ces procédures devraient être proposées par l’intermédiaire du portail numérique unique établi en vertu du règlement (UE) 2018/1724 du Parlement européen et du Conseil (29). Il convient d’ajouter ces procédures à la liste des procédures figurant à l’annexe II du règlement (UE) 2018/1724.

(57)

Il convient, dès lors, de modifier le règlement (UE) 2018/1724 en conséquence.

(58)

Afin de garantir l’efficacité du présent règlement, il convient de déléguer à la Commission le pouvoir d’adopter des actes conformément à l’article 290 du traité sur le fonctionnement de l’Union européenne afin de compléter le présent règlement en fixant les conditions particulières applicables aux transferts vers des pays tiers de certaines catégories de données à caractère non personnel considérées comme hautement sensibles dans des actes législatifs de l’Union déterminés et en établissant, pour les organisations altruistes en matière de données reconnues, un recueil de règles que ces organisations doivent respecter, qui fixe les exigences liées aux informations, aux aspects techniques et à la sécurité ainsi que les feuilles de route en matière de communication et les normes d’interopérabilité. Il importe particulièrement que la Commission procède aux consultations appropriées durant son travail préparatoire, y compris au niveau des experts, et que ces consultations soient menées conformément aux principes définis dans l’accord interinstitutionnel du 13 avril 2016«Mieux légiférer» (30). En particulier, pour assurer leur égale participation à la préparation des actes délégués, le Parlement européen et le Conseil reçoivent tous les documents au même moment que les experts des États membres, et leurs experts ont systématiquement accès aux réunions des groupes d’experts de la Commission traitant de la préparation des actes délégués.

(59)

Afin d’assurer des conditions uniformes d’exécution du présent règlement, il convient de conférer des compétences d’exécution à la Commission pour aider les organismes du secteur public et les réutilisateurs à respecter les conditions de réutilisation énoncées dans le présent règlement en élaborant des clauses contractuelles types pour le transfert par des réutilisateurs de données à caractère non personnel vers un pays tiers, pour déclarer que le cadre juridique et le dispositif de surveillance et d’exécution d’un pays tiers sont équivalents à la protection garantie au titre du droit de l’Union, pour concevoir le logo commun destiné aux prestataires de services d’intermédiation de données et le logo commmun destiné aux organisations altruistes en matière de données reconnues et pour créer et élaborer le formulaire européen de consentement à l’altruisme en matière de données. Ces compétences devraient être exercées conformément au règlement (UE) no 182/2011 du Parlement européen et du Conseil (31).

(60)

Le présent règlement ne devrait pas avoir d’incidence sur l’application des règles relatives à la concurrence, en particulier les articles 101 et 102 du traité sur le fonctionnement de l’Union européenne. Les mesures prévues par le présent règlement ne devraient pas être utilisées pour restreindre la concurrence d’une manière qui soit contraire au traité sur le fonctionnement de l’Union européenne. Cela concerne en particulier les règles relatives à l’échange d’informations sensibles sous l’angle de la concurrence entre concurrents réels ou potentiels au moyen de services d’intermédiation de données.

(61)

Le Contrôleur européen de la protection des données et le comité européen de la protection des données ont été consultés conformément à l’article 42, paragraphe 1, du règlement (UE) 2018/1725 et ont rendu leur avis le 10 mars 2021.

(62)

Le présent règlement a pour principes directeurs le respect des droits fondamentaux et des principes reconnus en particulier par la Charte des droits fondamentaux de l’Union européenne, notamment le respect de la vie privée, la protection des données à caractère personnel, la liberté d’entreprise, le droit de propriété et l’intégration des personnes handicapées. En ce qui concerne ce dernier élément, les organismes de service public et les services relevant du présent règlement devraient, s’il y a lieu, respecter les directives (UE) 2016/2102 (32) et (UE) 2019/882 (33) du Parlement européen et du Conseil. En outre, il convient de tenir compte de la conception universelle dans le contexte des technologies de l’information et de la communication, qui consiste en un effort délibéré et systématique d’appliquer de manière proactive les principes, méthodes et outils de promotion de la conception universelle dans les technologies informatiques, y compris les technologies basées sur l’internet, ce qui évite que des adaptations a posteriori ou une conception spéciale ne soient nécessaires.

(63)

Étant donné que les objectifs du présent règlement, à savoir la réutilisation, au sein de l’Union, de certaines catégories de données détenues par des organismes du secteur public, ainsi que l’établissement d’un cadre de notification et de surveillance pour la fourniture de services d’intermédiation de données, d’un cadre pour l’enregistrement volontaire des entités qui mettent des données à disposition à des fins altruistes et d’un cadre pour l’établissement d’un comité européen de l’innovation dans le domaine des données, ne peuvent pas être atteints de manière suffisante par les États membres mais peuvent, en raison de leurs dimensions et de leurs effets, l’être mieux au niveau de l’Union, celle-ci peut prendre des mesures, conformément au principe de subsidiarité consacré à l’article 5 du traité sur l’Union européenne. Conformément au principe de proportionnalité énoncé audit article, le présent règlement n’excède pas ce qui est nécessaire pour atteindre ces objectifs,