L’ARCEP octroie le premier label de prestataire de services d’intermédiation de données
Par sa
décision n° 2025-0468 du 10 avril 2025, l’ARCEP a attribué pour la première fois le label de « prestataire de services d’intermédiation de données reconnu dans l'Union » à la société M-iTrust, qui devient en France la première entité à obtenir cette reconnaissance.
Ce label vise à identifier les prestataires respectant les exigences européennes en matière de neutralité, de loyauté, d’indépendance et de sécurité dans l’intermédiation des données. Il s’inscrit dans le cadre des nouvelles compétences confiées à l’ARCEP par la
loi n° 2024-449 du 21 mai 2024 (Loi SREN), prise en application du
Règlement (UE) 2022/868 sur la gouvernance des données (« Data Governance Act » ou « DGA »)
Au sens du DGA, le prestataire de services d’intermédiation de données est un acteur neutre qui facilite, par des moyens techniques, juridiques ou autres, l’établissement de relations commerciales pour le partage de données entre des détenteurs ou personnes concernées et des utilisateurs de données, sans enrichir ni transformer substantiellement les données.
Le règlement impose aux prestataires de services d’intermédiation de données de notifier leur activité auprès d’une autorité nationale compétente. En France, la loi du 21 mai 2024 a désigné l’ARCEP pour exercer cette mission. Une fois qu’ils ont notifié leurs activités, les prestataires peuvent solliciter auprès de l’ARCEP l’obtention du label de « prestataire de services d’intermédiation de données reconnu dans l’Union ».
L’attribution du label est subordonnée au respect des conditions posées à l’article 12 du DGA. Ces conditions imposent notamment l'utilisation des données exclusivement pour leur mise à disposition des utilisateurs, la séparation juridique des activités d’intermédiation, la transparence sur les modalités commerciales, la prévention des conflits d’intérêts et la sécurisation des échanges.
Avant toute décision, l’ARCEP saisit la CNIL des pratiques des prestataires de services d'intermédiation de données de nature à soulever des questions liées à la protection des données à caractère personnel et tient compte de ses observations éventuelles.
Une fois labellisé, le prestataire peut utiliser un logo officiel dans ses communications.
A l’issue de l’instruction de la demande et après consultation de la CNIL, l’ARCEP a considéré que la société M-iTrust satisfaisait les critères de labellisation. Toutefois, deux points d'attention ont été signalés.
En premier lieu, M-iTrust propose, via une entité juridiquement distincte, une prestation de scoring bancaire. L’ARCEP a rappelé que toute activité distincte de l’intermédiation de données doit être strictement séparée afin d’éviter les conflits d’intérêts.
En second lieu, la société M-iTrust indique qu’elle peut avoir recours à des techniques d'aspiration de données (« scraping »). Pour l’ARCEP et la CNIL, cette pratique présente des risques en matière de sécurité et de respect des conditions d'utilisation des sites. L’ARCEP recommande de privilégier l’utilisation d’interfaces sécurisées (API).
L’attribution de ce premier label concrétise la mise en œuvre du cadre instauré par le DGA. Elle participe à la construction progressive d’un marché européen de la donnée fondé sur la transparence et la confiance. D'autres sociétés ont d'ores et déjà notifié leur activité auprès de l'ARCEP. Il conviendra d'observer, au cours des prochains mois, si elles sollicitent et obtiennent le label.
Tags:
Arcep, Label Arcep, Data Governance Act, DGA, Prestataire de services d’intermédiation de données, Data intermediation service provider, Gouvernance des données, Données personnelles, Notification Arcep, Labellisation Arcep, Protection des données personnelles, Sécurité des données, M-iTrust, Label reconnu Union européenne, Régulation des données
