Procédure d’agrément des chercheurs pour l’accès aux données des plateformes

DSA Data Access Portal

    L’article 40 du Règlement sur les services numériques (RSN), ou Digital Services Act (DSA), instaure la mise en place d’une procédure d’agrément pour l’accès aux données des très grandes plateformes en ligne (TGPL) et très grands moteurs de recherche en ligne (TGMR), permettant aux chercheurs agréés d’accéder de manière inédite à des données – y compris non-publiques – détenues par ces plateformes.

    Cette procédure doit participer à la réduction de l’asymétrie d’information avec les grandes plateformes, en permettant l’identification, la recension et la compréhension des risques systémiques liés aux TGPL et TGMR, ainsi qu’à l’évaluation des mesures d’atténuation mises en place par ces plateformes.

    L’Arcom est engagée depuis plusieurs années dans la question de l’accès aux données des plateformes en ligne. En sa qualité de coordinateur pour les services numériques (CSN), elle participera à la procédure d’agrément des chercheurs, en effectuant une évaluation initiale de la conformité de la demande aux critères énoncés à l’article 40 du RSN.

     

    Où faire une demande d'agrément ?

    Les demandes d’agrément se font via le DSA Data Access Portal point unique et centralisé pour effectuer des demandes. Les chercheurs intéressés par l’agrément doivent s’inscrire sur le portail et remplir un formulaire.

    Chaque demande doit mentionner un chercheur principal, qui s’assure de la validité des informations fournies et sert de point de contact avec les coordinateurs pour les services numériques dans le traitement de la demande d’agrément.

     

    Déroulé de la procédure d'agrément

    Une demande d’agrément peut, au choix, être adressée :

    • Au coordinateur pour les services numériques de l’Etat membre dans lequel est situé l’organisme de recherche auquel est affilié le chercheur principal de la demande. Pour des chercheurs affiliés à un organisme de recherche situé en France, il s’agit de l’Arcom ; 
    • Au coordinateur pour les services numériques d’établissement (CSN d’établissement) du fournisseur de la plateforme concernée par la demande d’agrément.

    Dans tous les cas, le texte définit une durée maximum unique de traitement des demandes, équivalente à 80 jours ouvrés.

    En raison du nombre potentiellement conséquent de demandes arrivant in fine aux CSN d’établissement, nous recommandons aux chercheurs établis en France de s’adresser à l’Arcom en premier lieu, afin d’assurer un traitement fluide et optimal de la procédure.

    Une fois la demande envoyée par le chercheur principal depuis le portail dédié, l’Arcom effectue une évaluation initiale de la conformité aux critères énoncés à l’article 40 du RSN pour chaque chercheur mentionné dans la demande. L'Arcom transmet ensuite le dossier ainsi que l’évaluation initiale au CSN d’établissement.

    En cas d’obtention de l’agrément, le CSN d’établissement envoie une demande motivée au fournisseur de la TGPL/TGMR, contenant :

    • Les dates de début et de fin d’accès ;
    • Les modalités de l’accès ;
    • Le résumé de la demande ;
    • Le nom et contact des chercheurs agréés, quand cela est nécessaire pour permettre l’accès aux données, conformément aux modalités décrites dans la demande motivée.

    Le fournisseur de plateforme peut proposer, dans les 15 jours et sous certaines conditions, des modifications à la demande. Ces modifications sont évaluées par le CSN d’établissement, qui peut ensuite rédiger si nécessaire une nouvelle demande motivée. En cas de désaccords persistants avec la demande motivée à la suite d’une demande de modifications, le fournisseur de plateforme peut initier une médiation.

    Faire une demande auprès de l'Arcom

    Pour transmettre votre demande auprès de l’Arcom, remplissez comme indiqué précédemment votre demande dans le DSA Data Access Portal et sélectionnez "Digital Services Coordinator from the country of the research organisation" dans l’onglet "Additional Information".

    L’Arcom accepte les demandes faites en français et en anglais. Les documents qui accompagnent la demande peuvent également être fournis dans les deux langues.

    Pour toute question ou complément d’information, vous pouvez contacter les services de l’Arcom à l’adresse suivante : acces-aux-donnees@arcom.fr.

    Nous vous recommandons de nous contacter avant de faire vos demandes dans le portail dédié, afin que les services de l’Arcom vous accompagnent en amont de votre demande.

    La Commission européenne a également mis en place une foire aux questions (FAQ) ainsi qu’un ensemble de ressources pour aider les chercheurs à naviguer sur le portail et rédiger leurs demandes.

    Les conditions pour obtenir l'agrément

    L’article 40.8 du RSN définit l’ensemble des critères à respecter :

    • L’appartenance à un organisme de recherche (voir les questions fréquentes ci-après pour plus de détails) ;
    • L’indépendance aux intérêts commerciaux ;
    • La mention des sources de financements du projet (financement obtenu ou en cours d’obtention) ;
    • La description des mesures techniques et organisationnelles appropriées, mises en place pour répondre aux exigences en matière de sécurité et de confidentialité des données correspondant à chaque demande, afin de protéger les éventuelles données à caractère personnel ;
    • La démonstration que l’accès aux données et les périodes d’accès demandées sont nécessaires et proportionnées aux fins poursuivies par la recherche, et que le projet de recherche contribue à l’identification, la recension ou la compréhension des risques systémiques ou bien à l’évaluation des mesures d’atténuation prises par les TGPL/TGMR face à ces risques (voir les questions fréquentes ci-après pour plus de détails) ;
    • La démonstration que les activités de recherche prévues sont menées aux fins énoncées précédemment ;
    • L’engagement de mettre gratuitement à disposition du public les résultats des recherches dans un délai raisonnable, sous réserve des droits et intérêts des destinataires du service concerné.

     

    Calendrier

    L’acte délégué relatif à l’accès aux données au titre de la législation sur les services numériques a été adopté par la Commission européenne le mercredi 2 juillet 2025. La procédure est entrée en vigueur le 29 octobre 2025. Cette page sera alors mise à jour pour indiquer aux chercheurs intéressés qu’il est désormais possible d’effectuer des demandes.

    Les chercheurs peuvent d’ores et déjà accéder au portail et s’y inscrire. Ils peuvent également poser des questions ou demander des compléments d’information à l’Arcom en s’adressant à l’adresse suivante : acces-aux-donnees@arcom.fr.

     

    Questions fréquentes

    L’article 8 de l’acte délégué relatif à l’accès aux données au titre de la législation sur les services numériques, adopté le 2 juillet 2025, mentionne un certain nombre de prérequis nécessaires à la rédaction d’une demande motivée :

    • Pour chaque chercheur : une preuve d’affiliation à un organisme de recherche, une déclaration d’indépendance aux intérêts commerciaux et un engagement à publier les résultats de la recherche gratuitement ;
    • Des informations sur le financement du projet ;
    • Une description des données souhaitées (format, étendue, éventuellement métadonnées et documentation) ;
    • Des informations sur la nécessité et la proportionnalité de l’accès aux données, par rapport aux finalités de la recherche envisagée ;
    • Des informations sur les risques identifiés en matière de sécurité des données et de protection des données personnelles, et les mesures techniques, légales et organisationnelles mises en place contre ces risques ;
    • Une description des activités de recherches prévues dans le cadre de la demande ;
    • Le résumé de la demande.

    Pour obtenir l'agrément, il est donc nécessaire que chaque demande contienne l’ensemble des informations et documents précités.

    Le droit européen définit un organisme de recherche comme

    « une université, y compris ses bibliothèques, un institut de recherche ou toute autre entité, ayant pour objectif premier de mener des recherches scientifiques, ou d'exercer des activités éducatives comprenant également des travaux de recherche scientifique :

    • a) à titre non lucratif ou en réinvestissant tous les bénéfices dans ses recherches scientifiques;
    • ou b) dans le cadre d'une mission d'intérêt public reconnue par un État membre ;

    de telle manière qu'il ne soit pas possible pour une entreprise exerçant une influence déterminante sur cet organisme de bénéficier d'un accès privilégié aux résultats produits par ces recherches scientifiques ».

    Il faut donc que chaque chercheur associé à la demande prouve son affiliation à l’organisme de recherche et que chaque organisme soit bien un organisme de recherche tel que décrit dans la définition ci-dessus.

    L’article 40 du RSN définit deux méthodes d’accès aux données des plateformes pour la recherche :

    • Une procédure d’agrément décrite précédemment pour accéder aux données des TGPL/TGMR, y compris les données non-publiques (article 40.4 à 40.11 du RSN) ;
    • Un accès aux données publiquement accessibles des TGPL/TGMR (article 40.12 du RSN), où les conditions requises pour l’accès sont plus larges que celles de la procédure d’agrément.

    C’est dans le cadre de l’article 40.12 du RSN que les plateformes ont mis en place des interfaces de programmation d'application (API), permettant théoriquement aux chercheurs d’accéder aux données publiquement accessibles des TGPL/TGMR, sans avoir besoin de demander un agrément auprès des coordinateurs pour les services numériques.

    Dans le cas où vous souhaiteriez plus d’informations au sujet de l’accès aux données publiquement accessibles des TGPL/TGMR, n’hésitez pas à nous contacter à l’adresse recherche@arcom.fr.

    Une liste comprenant entre autres les API existantes des grandes plateformes pour les données publiques est disponible à cette adresse.

    L’article 34 du RSN dispose que les TGPL/TGMR « recensent, analysent et évaluent de manière diligente tout risque systémique au sein de l’Union découlant de la conception ou du fonctionnement de leurs services et de leurs systèmes connexes, y compris des systèmes algorithmiques, ou de l’utilisation faite de leurs services ».

    4 catégories de risques systémiques sont notamment mentionnées :

    • La diffusion de contenus illicites ;
    • Tout effet négatif, réel ou prévisible, pour l’exercice des droits fondamentaux ;
    • Tout effet négatif, réel ou prévisible, sur le discours civique, les processus électoraux et la sécurité publique ;
    • Tout effet négatif, réel ou prévisible, lié aux violences sexistes, à la protection de la santé publique et des mineurs, et les conséquences négatives graves sur le bien-être physique et mental des personnes.

    L’article 35 du RSN, quant à lui, dispose que les TGPL/TGMR « mettent en place des mesures d’atténuation raisonnables, proportionnées et efficaces, adaptées aux risques systémiques spécifiques recensés conformément à l’article 34, en tenant compte en particulier de l’incidence de ces mesures sur les droits fondamentaux ». Il peut s’agir par exemple d’adapter les interfaces en ligne ou la modération de contenus, de prendre des mesures ciblées pour les mineurs, etc.

    Dans la plupart des cas, il convient d’accéder aux données publiques des TGPL et TGMR au moyen des solutions proposées au titre de l’article 40.12 du RSN (via les API mises en place par les fournisseurs de plateformes notamment).

    L’acte délégué relatif à l’accès aux données précise cependant que l’accès aux données, y compris aux données publiquement accessibles, est possible grâce à une demande d’agrément, si cela est dûment justifié. Ces justifications peuvent inclure par exemple le cas où la qualité des données accessibles par d’autres sources (telles que les API destinées aux chercheurs au titre de l’article 40.12 du RSN) est mauvaise, ou bien si le format des données nécessaires pour l’étude d’un risque systémique n’est pas accessible au moyen de ces autres sources.

    L’acte délégué relatif à l’accès aux données au titre de la législation sur les services numériques précise que les chercheurs peuvent s’appuyer sur les bases légales suivantes du règlement général de protection des données (RGPD), en matière de traitement de données à caractère personnel :

    • Le traitement est nécessaire à l’exécution d’une mission d’intérêt public (« intérêt public » - article 6.1.e du RGPD) ;
    • Le traitement est nécessaire à la poursuite d’intérêts légitimes du responsable de traitement, dans le respect des droits et intérêts des personnes dont les données sont traitées (« intérêt légitime du responsable de traitement » - article 6.1.f du RGPD).

    Le RGPD prévoit une interdiction de traitement de données dites « sensibles » (opinions politiques, convictions religieuses, prétendue origine raciale ou ethnique, etc.). Des exceptions à cette interdiction sont cependant prévues.

    L’acte délégué précise les deux exemptions mobilisables dans le cadre de l’article 40 du RSN :

    • « le traitement est nécessaire pour des motifs d’intérêt public important, sur la base du droit de l’Union ou du droit d’un État membre […] » (article 9.2.g du RGPD) ;
    • « le traitement est nécessaire […] à des fins de recherche scientifique ou historique ou à des fins statistiques, conformément à l'article 89, paragraphe 1, sur la base du droit de l'Union ou du droit d'un État membre […] » (article 9.2.j du RGPD).

    Ainsi, l'obtention d'un agrément au titre de l'article 40 du RSN suffit pour permettre le traitement de données sensibles. Dans ces conditions, une saisine de la CNIL sur la base de l'article 44.6° de la loi « informatique et libertés » n'est pas nécessaire.

    L’acte délégué relatif à l’accès aux données au titre de la législation sur les services numériques précise que les chercheurs peuvent indiquer, dans les sources de financement, les financements en cours d’obtention pour lesquels les chercheurs ont candidaté. Il est donc possible d’effectuer une demande d’agrément en étant dans l’attente d’un financement.

    Les chercheurs pourront également, le cas échéant, démontrer que la conformité aux critères de l’article 40 pourra être assuré y compris dans le cas où le financement n’est finalement pas obtenu.

    L’article 40 du RSN précise bien que les conditions de l’agrément doivent être réalisées pour chacun des chercheurs. Idéalement, chaque chercheur qui va participer au projet de recherche devrait figurer dans une demande.

    Cependant, dans le cas où des chercheurs supplémentaires rejoindraient un projet en cours, vous pouvez effectuer une demande pour ce(s) chercheur(s), en mentionnant (via son identifiant) la demande précédente ayant aboutie et en reprenant à l’identique les éléments pertinents du premier agrément.

    L’article 40.10 du RSN dispose que sur la base d’informations provenant de tiers ou sur la base d’une enquête ouverte de son propre chef, le coordinateur pour les services numériques d’établissement peut effectuer une enquête pouvant mener à la fin de l’accès de l’accès. Avant de mettre fin à l’accès, le CSN donne la possibilité au chercheur de réagir aux conclusions de l’enquête et à l’intention de mettre fin à l’accès.

    Ressources supplémentaires