Aller au contenu principal

Considérant 31

La directive (UE) 2016/943 du Parlement européen et du Conseil (23) prévoit que l'obtention, l'utilisation ou la divulgation d'un secret d'affaires est considérée comme licite, entre autres, lorsque cette obtention, cette utilisation ou cette divulgation est requise ou autorisée par le droit de l'Union ou le droit national. Bien que le présent règlement impose aux détenteurs de données de divulguer certaines données aux utilisateurs, ou à des tiers choisis par un utilisateur, même lorsque ces données répondent aux conditions pour être protégées en tant que secrets d'affaires, il devrait être interprété de manière à préserver la protection accordée aux secrets d'affaires au titre de la directive (UE) 2016/943. Dans ce contexte, les détenteurs de données devraient pouvoir exiger des utilisateurs ou des tiers choisis par un utilisateur de préserver la confidentialité des données considérées comme étant des secrets d'affaires. À cette fin, les détenteurs de données devraient identifier les secrets d'affaires avant la divulgation et avoir la possibilité de convenir avec les utilisateurs, ou des tiers choisis par un utilisateur, de mesures nécessaires pour préserver leur confidentialité, y compris par l'utilisation de clauses contractuelles types, d'accords de confidentialité, de protocoles d'accès stricts, de normes techniques et de l'application de codes de conduite. Outre l'utilisation de clauses contractuelles types qui doivent être élaborées et recommandées par la Commission, l'établissement de codes de conduite et de normes techniques relatives à la protection des secrets d'affaires dans le traitement des données pourrait contribuer à la réalisation de l'objectif du présent règlement et devrait être encouragé. En l'absence d'accord sur les mesures nécessaires, ou lorsqu'un utilisateur ou les tiers choisis par un utilisateur ne mettent pas en œuvre les mesures convenues ou compromettent la confidentialité des secrets d'affaires, le détenteur de données devrait pouvoir bloquer ou suspendre le partage de données définies comme secrets d'affaires. En pareils cas, le détenteur de données devrait fournir la décision par écrit à l'utilisateur ou au tiers sans retard injustifié et notifier à l'autorité compétente de l'État membre dans lequel le détenteur de données est établi qu'il a bloqué ou suspendu le partage de données et indiquer les mesures qui n'ont pas été convenues ou mises en œuvre et, le cas échéant, les secrets d'affaires dont la confidentialité a été compromise. Les détenteurs de données ne peuvent pas, en principe, refuser une demande d'accès aux données présentée au titre du présent règlement au seul motif que certaines données sont considérées comme étant des secrets d'affaires, car cela irait à l'encontre des effets attendus du présent règlement. Toutefois, dans des circonstances exceptionnelles, un détenteur de données qui est un détenteur de secrets d'affaires devrait pouvoir, au cas par cas, rejeter une demande portant sur les données spécifiques en question s'il peut démontrer à l'utilisateur ou au tiers que, malgré les mesures techniques et organisationnelles prises par l'utilisateur ou par le tiers, la divulgation de ce secret d'affaires risque fortement de causer un préjudice économique grave. Le préjudice économique grave implique une perte économique grave et irréparable. Le détenteur de données devrait dûment motiver son refus par écrit, sans retard injustifié, à l'utilisateur ou au tiers et en informer l'autorité compétente. Une telle motivation devrait être fondée sur des éléments objectifs, démontrant le risque concret de préjudice économique grave qui devrait résulter d'une divulgation de données spécifiques et les raisons pour lesquelles les mesures prises pour protéger les données demandées ne sont pas considérées comme étant suffisantes. Une éventuelle incidence négative sur la cybersécurité peut être prise en compte dans ce contexte. Sans préjudice du droit de former un recours devant une juridiction d'un État membre, lorsque l'utilisateur ou un tiers souhaite contester la décision du détenteur de données de refuser ou de bloquer ou suspendre le partage de données, l'utilisateur ou le tiers peut introduire une réclamation auprès de l'autorité compétente, laquelle devrait décider, sans retard injustifié, si et dans quelles conditions le partage de données devrait commencer ou reprendre, ou peut convenir avec le détenteur de données de saisir un organe de règlement des litiges. Les exceptions aux droits d'accès aux données prévues par le présent règlement ne devraient en aucun cas limiter le droit d'accès et le droit de portabilité des données des personnes concernées au titre du règlement (UE) 2016/679.