Cadre réglementaire
Le règlement européen sur la gouvernance des données (UE 2022/868) permet aux prestataires de services d’intermédiation de données de demander un label officiel :
« Prestataire de services d’intermédiation de données reconnu dans l’Union ».
Conformément à l’article 11, paragraphe 9, cette demande peut être adressée à l’autorité compétente du pays dans lequel le prestataire est établi. Ce label atteste que le prestataire respecte les exigences prévues par le règlement et peut l’utiliser dans ses communications officielles.
L’autorité compétente est celle du pays où se situe votre établissement principal ou votre représentant légal (pour les prestataires établis hors EEE). Au Luxembourg, la loi du 19 décembre 2025 désigne la CNPD en tant qu’autorité compétente. À ce titre, les prestataires de services d’intermédiation de données peuvent réaliser cette demande de labellisation auprès de l’CNPD, selon les informations décrites dans ci-dessous.
Qu’est-ce qu’un label européen (EU) et quels sont ses avantages ?
Dans le cadre de l’Acte sur la gouvernance des données, la Commission européenne a mis en place des labels et logos officiels. Leur objectif ? Aider les citoyens, entreprises et autres parties prenantes à identifier facilement les prestataires de services d’intermédiation de données enregistrés dans l’Union européenne.
Pourquoi ces labels sont-ils importants ?
Obtenir ce label européen présente de nombreux avantages :
- Il renforce la crédibilité du prestataire auprès de ses clients et partenaires.
- Il garantit que le service respecte les normes européennes strictes en matière de transparence, de sécurité et de gestion responsable des données.
- Pour les utilisateurs, c’est un gage de confiance.
- Pour les entreprises, c’est un atout stratégique pour accéder à de nouveaux marchés au sein de l’UE.
Des logos protégés et encadrés
Ces logos sont officiellement enregistrés comme marques et protégés contre tout usage abusif. Ils permettent de distinguer les services de confiance reconnus (contrôlés) des autres acteurs du marché, renforçant ainsi la transparence dans l’écosystème des données.
Un QR code pour plus de transparence
Le logo attribué aux prestataires de services d’intermédiation de données doit être accompagné d’un QR code. Celui-ci renvoie directement vers le registre public de l’UE, accessible depuis septembre 2023, où figurent tous les prestataires de ces services reconnus dans l’UE.
Les labels et logos mis en place par la Commission européenne dans le cadre de la mise en œuvre de l’acte sur la gouvernance des données, permettent d’aider les parties prenantes à identifier facilement les prestataires de services d’intermédiation de données reconnus dans l’Union européenne.
Qui peut introduire une demande de label européen (UE) ?
Les prestataires de services d’intermédiation de données qui ont préalablement effectué la démarche de notification auprès de la CNPD et qui sont désormais inscrits au registre européen (UE) des prestataires de services d’intermédiation de données reconnus dans l’UE pourront introduite une demande auprès de la CNPD afin d’obtenir le label « prestataire de services d’intermédiation de données reconnu dans l’Union ».
Quel doit être le contenu du dossier de la demande de labélisation UE ?
Les prestataires de services d’intermédiation de données pourront soumettre à la CNPD un dossier de demande afin d’obtenir le label « prestataire de services d’intermédiation de données reconnu dans l’Union ».
Une liste indicative de pièces justificatives que le prestataire de services d’intermédiation de données devra fournir afin que la CNPD puisse instruire sa demande au regard des conditions prévues par l’article 12 du règlement est disponible en bas de cette page.
Les dossiers devront être transmis à l’adresse dga@cnpd.lu.
Comment se déroule l’examen des dossiers de labélisation UE ?
Après réception du dossier complet, les services compétents de la CNPD procèderont à l’analyse du dossier.
Des informations complémentaires peuvent être demandées lors de l’analyse.
Si, au terme de l’examen de la demande, l’autorité compétente estime que le prestataire satisfait aux conditions requises par l’article 12 du règlement, celui-ci pourra alors utiliser ce label dans ses communications écrites et orales, ainsi que le logo associé.
Utilisation des logos par les prestataires de services reconnus dans l’UE
Les logos communs peuvent être téléchargés en plusieurs versions différentes (horizontales et verticales). Veuillez noter que l’utilisation inappropriée et/ou non autorisée de logos peut entraîner des conséquences juridiques.
Un manuel d’utilisation a été préparé et mis à disposition par la Commission européenne :
Télécharger le manuel destiné aux prestataires de services d’intermédiation de données
En quoi consiste la notification / l’enregistrement en tant que prestataire de services d’intermédiation de données reconnu dans l’UE et quels sont les avantages ?
Le règlement (UE) 2022/868 portant sur la gouvernance européenne des données (Acte sur la gouvernance des données ou Data Governance Act) établit un cadre qui vise à accroître la confiance dans le partage des données. La procédure de notification fait partie de ce cadre rassurant dans lequel les prestataires de services d’intermédiation de données agissent en tant que tiers de confiance, pour le partage ou la mise en commun de données, notamment dans certains secteurs.
Qui doit introduire une notification en tant que prestataire de services d’intermédiation de données ?
Conformément à l’article 11 du règlement sur la gouvernance des données, les prestataires de services d’intermédiation de données dont l’établissement principal (siège) ou le représentant légal est situé/basé au Luxembourg, doivent soumettre à l’autorité nationale compétente, en l’occurrence la CNPD, une notification préalablement au démarrage de leur activité de prestataire de ce type de services.
Les acteurs suivants sont concernés par la notification, conformément à l’article 10 du règlement sur la gouvernance des données :
- les services d’intermédiation entre les détenteurs de données et les utilisateurs de données potentiels ;
- les services d’intermédiation entre, d’une part, les personnes concernées qui cherchent à mettre à disposition leurs données à caractère personnel ou des personnes physiques qui cherchent à mettre à disposition des données à caractère non personnel et, d’autre part, les utilisateurs de données potentiels ;
- les services de coopératives de données.
Les services de coopératives de données sont des services d’intermédiation de données proposés par une structure organisationnelle constituée de personnes concernées, d’entreprises unipersonnelles ou de PME qui sont membres de cette structure dont les objectifs principaux consistent à aider ses membres à exercer leurs droits à l’égard de certaines données, y compris quant au fait d’opérer des choix en connaissance de cause avant qu’ils ne consentent au traitement de données, à mener des échanges de vues sur les finalités et les conditions du traitement de données qui représenteraient le mieux les intérêts de ses membres en ce qui concerne leurs données, et à négocier les conditions et modalités du traitement des données au nom de ses membres avant que ceux-ci ne donnent l’autorisation de traiter des données à caractère non personnel ou ne donnent leur consentement au traitement de données à caractère personnel.
La prestation de services d’intermédiation de données est soumise au respect des conditions prévues à l’article 12 du règlement sur la gouvernance des données.
Quel doit être le contenu de la notification ?
La notification doit inclure les informations énumérées à l’article 11 du Règlement (UE) 2020/1784.
La Commission européenne met à disposition un formulaire de notification reprenant l’ensemble des renseignements requis dans le cadre de cette procédure.
Vous pouvez effectuer votre notification en remplissant le formulaire dédié, disponible en téléchargement au bas de cette page.
Comment se déroule l’examen de la notification ?
La CNPD examine le formulaire de notification et, dans un délai d’une semaine à partir du moment où celui-ci est jugé complet, elle délivre une déclaration standardisée. Ce document confirme que le prestataire de services d’intermédiation de données a bien soumis sa notification et que toutes les informations requises y figurent.
La CNPD notifie chaque enregistrement à la Commission européenne. La Commission fera figurer l’enregistrement concerné dans le registre de l’UE des services d’intermédiation de données.
Si des informations transmises changent par la suite, ces modifications doivent être notifiées à la CNPD dans un délai de 14 jours à compter de la date de modification.
De même, en cas d’arrêt de l’activité, la CNPD doit en être informée dans un délai de 15 jours.