Acces aux donnees IoT : droits des utilisateurs sous le Data Act

L’un des apports les plus significatifs du Data Act reside dans la creation d’un droit d’acces aux donnees generees par les produits connectes au benefice de leurs utilisateurs. Ce droit, consacre principalement aux articles 3 a 7 du reglement (UE) 2023/2854, bouleverse l’equilibre traditionnel dans lequel les fabricants conservaient un monopole de fait sur les donnees produites par les objets qu’ils commercialisent. Depuis le 12 septembre 2025, date d’application du reglement, les utilisateurs d’objets IoT disposent d’un droit opposable et directement applicable dans l’ensemble de l’Union europeenne.

Le principe : une obligation de conception pour l’acces

Avant meme d’examiner le droit d’acces lui-meme, il convient de souligner l’obligation fondamentale posee par l’article 3 du Data Act. Ce texte impose aux fabricants de produits connectes et aux fournisseurs de services connexes une obligation de conception orientee vers l’acces (design for access).

Concretement, les produits connectes doivent etre concus et fabriques, et les services connexes doivent etre fournis, de maniere a ce que les donnees generees par leur utilisation soient :

• Accessibles facilement par l’utilisateur, sans obstacle technique disproportionne.
• Accessibles gratuitement, sans frais supplementaires lies a l’acces aux donnees.
• Accessibles de maniere continue et en temps reel, lorsque cela est techniquement possible et pertinent.
• Fournies dans un format complet, structure, couramment utilise et lisible par machine.

Cette obligation de conception est une obligation de resultat. Le fabricant ne peut pas se contenter de promettre l’acces aux donnees ; il doit concevoir le produit de telle sorte que cet acces soit effectivement garanti des la mise sur le marche.

L’article 3 prevoit egalement une obligation d’information precontractuelle. Avant la conclusion d’un contrat d’achat, de location ou de leasing d’un produit connecte, l’utilisateur doit etre informe de maniere claire et comprehensible :

• De la nature, du volume et de la frequence de collecte des donnees que le produit est susceptible de generer.
• De la maniere dont l’utilisateur peut acceder a ces donnees.
• De l’eventuelle intention du fabricant d’utiliser ces donnees lui-meme ou de les partager avec des tiers, et dans quelles conditions.

Le droit d’acces de l’utilisateur (article 4)

Qui est “utilisateur” au sens du Data Act ?

La notion d’utilisateur est definie a l’article 2(12) du Data Act. Il s’agit de toute personne physique ou morale qui possede, loue ou prend en leasing un produit connecte, ou qui recoit un service connexe.

Cette definition est volontairement large. Elle couvre :

• Le consommateur qui achete un objet connecte pour son usage personnel (montre connectee, thermostat intelligent, enceinte connectee).
• L’entreprise qui achete ou loue des machines industrielles equipees de capteurs IoT.
• L’exploitant agricole qui utilise des equipements de precision connectes.
• Le gestionnaire de flotte qui utilise des vehicules connectes.
• L’etablissement de sante qui exploite des dispositifs medicaux connectes.

Un point essentiel : l’utilisateur au sens du Data Act n’est pas necessairement la personne concernee au sens du RGPD. Une entreprise peut etre utilisateur d’un produit connecte dont les donnees concernent des personnes physiques (salaries, patients, conducteurs). Dans ce cas, le droit d’acces Data Act beneficie a l’entreprise, mais l’exercice de ce droit doit respecter les droits des personnes concernees au titre du RGPD, notamment les principes de privacy by design et de securite des donnees.

Quelles donnees sont couvertes ?

Le droit d’acces porte sur les donnees generees par l’utilisation du produit connecte ou du service connexe. Le considerant 15 du Data Act precise que cela inclut :

• Les donnees enregistrees intentionnellement par l’utilisateur (par exemple, les reglages d’un thermostat).
• Les donnees generees comme sous-produit de l’action de l’utilisateur (par exemple, les donnees de telemetrie d’un vehicule en mouvement).
• Les donnees generees par le fonctionnement du produit lui-meme (par exemple, les donnees de performance d’une machine industrielle).

En revanche, le droit d’acces ne couvre pas :

• Les donnees inferees ou derivees par le fabricant a partir des donnees brutes (par exemple, les resultats d’un algorithme predictif applique aux donnees du produit).
• Les donnees qui ne sont pas generees par l’utilisation du produit (par exemple, les donnees de conception du produit ou le code source du logiciel embarque).

Conditions d’exercice

L’utilisateur peut exercer son droit d’acces sans avoir a justifier d’un motif. Le detenteur de donnees (generalement le fabricant) doit fournir les donnees :

• Sans retard injustifie, et dans les delais eventuellement convenus contractuellement.
• Gratuitement, sans frais lies a l’acces proprement dit.
• Dans un format structure, couramment utilise et lisible par machine, ainsi que, le cas echeant, dans le meme format que celui dans lequel le detenteur les recoit ou les genere.
• De maniere continue et en temps reel, lorsque cela est techniquement possible.

Le detenteur de donnees ne peut pas invoquer le secret des affaires pour refuser purement et simplement l’acces. Il peut toutefois appliquer des mesures proportionnees pour proteger ses secrets d’affaires, par exemple en limitant l’acces a certaines metadonnees ou en imposant des accords de confidentialite.

Le partage avec des tiers (article 5)

Le droit d’acces de l’utilisateur ne se limite pas a un acces pour son propre compte. L’article 5 du Data Act permet a l’utilisateur de demander au detenteur de donnees de transmettre les donnees a un tiers de son choix. Ce mecanisme est essentiel pour permettre le developpement d’un ecosysteme de services fondes sur les donnees IoT.

Fonctionnement du mecanisme

L’utilisateur adresse une demande au detenteur de donnees, indiquant le tiers auquel les donnees doivent etre transmises. Le detenteur de donnees est alors tenu de mettre les donnees a disposition du tiers designe :

• Sans retard injustifie.
• Dans le meme format et avec la meme qualite que ceux dont dispose le detenteur.
• De maniere continue et en temps reel, le cas echeant.

Obligations du tiers destinataire

Le tiers qui recoit les donnees est soumis a des obligations strictes (article 6). Il doit :

• Traiter les donnees uniquement aux fins convenues avec l’utilisateur. Il ne peut pas utiliser les donnees pour developper un produit concurrent du produit connecte d’origine.
• Supprimer les donnees lorsqu’elles ne sont plus necessaires aux fins convenues.
• Ne pas transmettre les donnees a un autre tiers sans l’accord de l’utilisateur.
• Respecter le RGPD lorsque les donnees incluent des donnees a caractere personnel.

Restrictions au partage

L’article 6 prevoit des restrictions importantes au partage avec des tiers. Le tiers destinataire ne peut pas :

• Utiliser les donnees pour profiler des personnes physiques au sens du RGPD, sauf si cela est strictement necessaire a la fourniture du service demande par l’utilisateur.
• Rendre les donnees disponibles a une autre entreprise qui fabrique un produit concurrent du produit connecte d’origine.
• Utiliser les donnees pour developper un produit en concurrence avec le produit connecte dont elles sont issues.

Ces restrictions visent a proteger les interets economiques legitimes du fabricant tout en preservant le droit de l’utilisateur a la libre disposition de ses donnees.

Les entreprises “gardiens de l’acces” (gatekeepers)

L’article 5(2) du Data Act prevoit une restriction specifique : les entreprises designees comme controleurs d’acces (gatekeepers) au titre du reglement sur les marches numeriques (DMA) ne peuvent pas etre designees comme tiers destinataires de donnees. Cette disposition vise a eviter que les grands acteurs du numerique n’utilisent le Data Act pour renforcer leur position dominante en accumulant des donnees supplementaires.

Exemples concrets d’application

Vehicules connectes

Le proprietaire d’un vehicule connecte peut exiger du constructeur automobile l’acces aux donnees generees par son vehicule : donnees de conduite, informations de diagnostic, consommation energetique, donnees de navigation. Il peut egalement demander que ces donnees soient transmises a un garagiste independant pour l’entretien du vehicule, ou a un assureur pour beneficier d’une tarification adaptee a son comportement de conduite.

Machines industrielles

Une usine qui exploite des machines-outils equipees de capteurs IoT peut acceder aux donnees de performance, d’usure et de consommation energetique de ces machines, meme si le logiciel embarque est proprietary. Elle peut transmettre ces donnees a un prestataire de maintenance predictive tiers, brisant ainsi le monopole du fabricant sur les services de maintenance.

Appareils electromenagers

L’utilisateur d’un refrigerateur connecte peut acceder aux donnees de consommation energetique et d’utilisation de l’appareil. Ces donnees peuvent etre partagees avec un fournisseur d’energie pour optimiser la consommation, ou avec un service tiers de gestion domotique.

Agriculture de precision

Un exploitant agricole utilisant des tracteurs connectes et des capteurs de sol IoT peut acceder a l’ensemble des donnees agronomiques generees par ces equipements. Il peut transmettre ces donnees a un conseiller agronomique independant, sans etre contraint de recourir aux services du fabricant du materiel.

Dispositifs medicaux

Un etablissement de sante utilisant des dispositifs medicaux connectes (moniteurs de patients, pompes a perfusion connectees) peut acceder aux donnees generees par ces dispositifs. Toutefois, lorsque ces donnees constituent des donnees de sante au sens du RGPD, des garanties supplementaires s’appliquent, notamment en matiere de base legale et de mesures de securite renforcees. Un audit RGPD prealable est recommande pour verifier la conformite de ces traitements.

Les limites du droit d’acces

Le droit d’acces n’est pas absolu. Le Data Act prevoit plusieurs limites :

• Protection des secrets d’affaires : le detenteur peut imposer des mesures proportionnees de confidentialite.
• Securite : l’acces ne doit pas compromettre la securite du produit connecte ni creer de risque pour les utilisateurs.
• Droits des tiers : lorsque les donnees incluent des donnees personnelles de personnes physiques autres que l’utilisateur, le RGPD s’applique pleinement.
• Legislation sectorielle : le Data Act est sans prejudice des legislations sectorielles specifiques (par exemple, les reglementations applicables aux dispositifs medicaux ou aux vehicules).

Sanctions en cas de non-respect

Le non-respect des obligations d’acces aux donnees expose le detenteur de donnees a des sanctions definies par chaque Etat membre. Ces sanctions doivent etre effectives, proportionnees et dissuasives. Les autorites nationales competentes designees par les Etats membres sont chargees de veiller au respect de ces obligations et de traiter les plaintes des utilisateurs.

Conclusion

Le droit d’acces aux donnees IoT constitue une avancee majeure pour les utilisateurs de produits connectes, qu’ils soient consommateurs ou entreprises. En imposant une obligation de conception orientee vers l’acces et en permettant le partage libre des donnees avec des tiers, le Data Act rompt avec le modele dans lequel les fabricants conservaient un controle exclusif sur les donnees generees par leurs produits. La mise en oeuvre effective de ce droit supposera neanmoins une vigilance tant de la part des utilisateurs, qui doivent connaitre et exercer leurs droits, que des autorites de controle, qui devront veiller au respect effectif de ces nouvelles obligations. Pour une analyse complete du cadre reglementaire, nous renvoyons a notre guide complet du Data Act.