II. ARTICLE 25 - DÉSIGNATION DE L'AUTORITÉ COMPÉTENTE CHARGÉE DE VEILLER À L'APPLICATION DU RÈGLEMENT (UE) 2023/2854 ET POUVOIRS D'ENQUÊTE ET DE SANCTION
L'article 25 modifie la loi sur l'espace numérique du 21 mai 2024, en y intégrant des dispositions relatives au règlement sur les données. Il insère ainsi un chapitre supplémentaire intitulé « dispositions relatives au règlement (UE) 2023/2854 du 13 décembre 2023 (règlement sur les données) ». Il s'agit d'inscrire dans la loi l'autorité compétente en la matière conformément à l'article 37 du règlement sur les données.
En effet, bien que d'application directe, le règlement sur les données laissait aux États membres :
· la désignation de la ou les autorités compétentes chargées de sa mise en oeuvre au regard des critères précisés en son article 371 ;
· la définition du régime de sanctions applicable.
Déjà désignée autorité nationale compétente pour la régulation de la fourniture des services d'informatique en nuage et d'intermédiation des données au titre de certaines dispositions de la loi visant à sécuriser et à réguler l'espace numérique et du règlement sur la gouvernance des données, l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (Arcep) est donc également nommée autorité compétente au sens du règlement sur les données.
En outre, l'article 25 du projet de loi prévoit de rendre applicables le règlement (UE) 2023/2854 du 13 décembre 2023 concernant des règles harmonisées portant sur l'équité de l'accès aux données et de l'utilisation des données (règlement sur les données) à Saint-Barthélemy et à Saint-Pierre-et-Miquelon.
A. CADRAGE GÉNÉRAL
Présentée en février 2022, la proposition de Règlement du Parlement européen et du Conseil fixant des règles harmonisées pour l'équité de l'accès aux données et de l'utilisation des données (règlement sur les données) faisait suite non seulement aux déclarations d'Ursula von der Leyen dans ses orientations politiques pour la Commission 2019-2024, selon lesquelles l'Europe doit « équilibrer le flux et l'utilisation des données tout en préservant un haut degré de protection de la vie privée, de sécurité, de sûreté et d'éthique », mais également à diverses communications de la Commission, conclusions du Conseil ou résolutions du Parlement européen sur la stratégie en matière de données.
La proposition initiale avait pour objectif de garantir l'équité dans la répartition de la valeur produite par les données entre les acteurs de l'économie fondée sur les données et de favoriser l'accès aux données et leur utilisation. Au-delà, le souhait était que, dans tous les secteurs, les entreprises de l'UE soient en mesure d'innover et de faire face à la concurrence, tout en donnant aux individus les moyens d'agir efficacement sur leurs données.
Initialement, la mention de la désignation des autorités compétentes intervenait dans le considérant 81 et dans l'article 31, aux termes duquel « Chaque État membre désigne une ou plusieurs autorités compétentes chargées de l'application et de l'exécution du présent règlement. Les États membres peuvent mettre en place une ou plusieurs nouvelles autorités ou s'appuyer sur des autorités existantes ».
Le Parlement européen, arrêtant sa position le 9 novembre 2023, a gardé la même rédaction, cette fois dans l'article 37, ajoutant néanmoins l'obligation pour les États membres, en cas de désignation de plusieurs autorités compétentes, de désigner également un coordinateur de données.
La version définitive issue des négociations en trilogue a conservé, d'une part, la rédaction initiale concernant la désignation des autorités compétentes et, d'autre part, l'obligation issue du Parlement européen de désigner, le cas échéant, un coordinateur de données.
Rappelons que l'article 37, outre le choix de l'autorité compétente, laisse également le soin aux États membres de déterminer les missions et pouvoirs des autorités compétentes désignées, incluant le traitement des réclamations, la réalisation d'enquêtes et l'imposition des sanctions, y compris financières.