À compter du 24 septembre 2023, date d’entrée en application du DGA, toute entreprise exerçant ou souhaitant exercer une activité de services d’intermédiation de données dans l’Union européenne est désormais obligatoirement régulée par les dispositions du chapitre III du Data Governance Act ("Exigences applicables aux services d’intermédiation de données").

Le Data Governance Act ("DGA") constitue un jalon important dans la construction du marché numérique européen. L’objectif poursuivi est de favoriser le partage des données dans le respect des droits des personnes. Les fournisseurs de services d’intermédiation de données2, désormais reconnus par le règlement comme des entités clés, sont chargés de faciliter l’échange de données entre d’une part des détenteurs de données ou des personnes concernées souhaitant mettre à disposition leurs données3 personnelles, et d’autre part, des utilisateurs de données. Les fournisseurs de services d’intermédiation sont désormais astreints à un régime contraignant incluant des exigences de neutralité et de transparence4.

L’article 2(11) du DGA exclut du statut certains services comme l’agrégation ou l’enrichissement de données sans mise en relation directe, les services d’intermédiation de contenus protégés par le droit d’auteur, les services utilisés par des personnes morales multiples en interne par un groupe fermé, et les services de partage de données des organismes publics sans but commercial.

"Les fournisseurs de services d’intermédiation sont désormais astreints à un régime contraignant incluant des exigences de neutralité et de transparence"

Le statut d’intermédiaire de données est soumis à une procédure de notification obligatoire5. Pour les entreprises exerçant déjà cette activité à la date d’entrée en vigueur du DGA, elles disposent jusqu’au 24 septembre 2025 pour se conformer aux obligations relevant de leur statut au titre du DGA6. Selon le préambule du DGA, la procédure de notification vise à "(…) garantir que la gouvernance des données au sein de l’Union est fondée sur un échange de données digne de confiance." La procédure de notification n’appelle aucune décision expresse ou un acte administratif de l’autorité compétente en matière de services d’intermédiation de données pour la fourniture de tels services.

La notification à l’autorité compétente est une condition préalable obligatoire pour toute entreprise souhaitant exercer légalement une activité d’intermédiation de données au sens du DGA. À défaut de notification, l’entreprise s’expose à des sanctions administratives, y compris des sanctions pécuniaires dissuasives. Les sanctions pour les manquements aux exigences applicables aux services d’intermédiation de données sont prévues dans leur principe dans le DGA et sont énoncées dans le projet de loi sur la sécurité et la régulation de l’espace numérique ("PJSREN")7 :

- L’article 14 du DGA prévoit que les autorités compétentes contrôlent et surveillent les manquements par les intermédiaires de données des exigences énoncées au chapitre III du DGA. L’obligation de notification prévue à l’article 11 du DGA relevant de ce chapitre III, il en découle que le défaut de notification est soumis aux sanctions prévues audit article 14. En cas de constatation d’un manquement, l’autorité compétente peut exiger qu’il y soit mis fin dans un délai raisonnable et prendre des mesures proportionnées. Ces mesures peuvent aller jusqu’à des amendes, la suspension ou la cessation de l’activité en cas d’infractions graves ou répétées.

"Le DGA redéfinit le partage des données, plaçant les fournisseurs d’intermédiation au cœur de l’économie numérique"

- L’article 12 du PJSREN prévoit le régime des sanctions en cas de manquement aux exigences mentionnées au chapitre III du DGA, y compris donc en cas de manquement à l’obligation de notification. Les sanctions vont de l’amende pouvant aller jusqu’à 3 % du chiffre d’affaires mondial (porté à 5 % en cas de nouvelle violation de la même obligation), à la suspension ou la cessation de l’activité pour les manquements les plus graves8. Les sanctions devraient donc être proportionnées.

En France, la sanction des exigences mentionnées au chapitre III du DGA sera effective lors de la promulgation de la loi visant à sécuriser et réguler l’espace numérique. Sous réserve du respect des obligations de l’article 12 du DGA (notamment l’obligation de neutralité), la notification à l’autorité nationale compétente permet au prestataire, d’une part d’exercer l’activité de services intermédiation de données dans toute l’Union Européenne et, d’autre part, d’utiliser dans ses communications écrites et orales le label "prestataire de services d’intermédiation de données reconnu dans l’Union", ainsi qu’un logo commun.


Application des conditions de l’Art. 12 du DGA en l’absence de notification

La question se pose de savoir si le statut de fournisseur de services d’intermédiation, tel que prévu par le DGA, est optionnel et tributaire de la notification à l’autorité compétente. Selon notre analyse, les conditions applicables à l’exercice d’une activité d’intermédiation de données dans l’Union européenne s’appliquent indépendamment de la notification prévue à l’article 11 du DGA. Ceci ressort tant de l’article 2(11) que de l’article 12 du DGA, qui, pour le premier, ne définit pas l’activité d’intermédiation de données en fonction d’une notification préalable, et, pour le second, ne conditionne pas l’application des obligations spécifiques (notamment la neutralité) à l’accomplissement de la procédure de notification. De fait, la notification est traitée comme une obligation en tant que telle incombant au prestataire de services d’intermédiation.

En conclusion, toute entreprise exerçant dans l’Union européenne une activité répondant à la définition des services d’intermédiation de données est désormais obligatoirement régulée par les dispositions du chapitre III du DGA ("Exigences applicables aux services d’intermédiation de données"). Cette régulation s’applique à toutes ces entreprises, y compris celles exerçant ladite activité avant l’entrée en vigueur du DGA, le 23 juin 2022. Le défaut de notification qui constitue en soi un manquement aux dispositions du DGA, ne fait pas échec à l’application des conditions décrites à l’article 12 du DGA applicables à toute activité d’intermédiation de données.

 

SUR L’AUTEUR

Avocat pratiquant le droit des nouvelles technologies, fondateur et dirigeant du cabinet Pavléas Avocats, Constantin Pavléas est aussi coordinateur du programme Droit du Numérique & Propriété Intellectuelle et responsable d’enseignements à l’école des Hautes Études Appliquées du Droit (HEAD). Avec son équipe, il conseille des entreprises et organismes français et étrangers, notamment dans le secteur des technologies de l’information et plus généralement de l’innovation, sur leur stratégie en matière de propriété intellectuelle, de valorisation et d’exploitation de leurs actifs immatériels et des données personnelles et non personnelles. Le cabinet assiste également ses clients dans la négociation de contrats complexes. Constantin intervient régulièrement en tant que spécialiste du droit des nouvelles technologies dans les médias ainsi que dans des conférences sur de nombreux thèmes concernant l’intelligence artificielle, l’emploi des nouvelles technologies dans le domaine médical, l’agriculture, et la numérisation de l’économie.

 

Notes de bas de page

1 Règlement (UE) 2022/868 du Parlement européen et du Conseil du 30 mai 2022 portant sur la gouvernance européenne des données et modifiant le règlement (UE) 2018/1724 (règlement sur la gouvernance des données) https://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:32022R0868.

2 Art. 2(8) du DGA.

3 Art. 2(9) du DGA.

4 Art. 10 du DGA.

5 Art. 10 DGA, Arts. 11(1) et 11(4). Art. 11(1) "Tout prestataire de services d’intermédiation de données qui a l’intention de fournir les services d’intermédiation de données visés à l’article 10 soumet une notification à l’autorité compétente en matière de services d’intermédiation de données." Art. 11(4) : "Après avoir soumis une notification conformément au paragraphe 1, le prestataire de services d’intermédiation de données peut commencer l’activité sous réserve des conditions énoncées au présent chapitre (…)"

6 Art. 37 du DGA.

7 Projet de loi adopté par le Sénat le 5 juillet 2023 et par l’Assemblée nationale le 17 octobre 2023, dans l’attente d’amendements en commission mixte paritaire et de sa promulgation durant le premier trimestre 2024.

8 NB: À la date du présent article, le texte du PJSREN adopté par l’assemblée nationale en première lecture le 17 octobre 2023 n’est pas encore publié : https://www.assemblee-nationale.fr/dyn/16/textes/l16t0175_texte-adopte-seance.

Newsletter Flash

Pour recevoir la newsletter du Magazine Décideurs, merci de renseigner votre mail

GUIDE ET CLASSEMENTS

> Guide 2023