Accès aux données IoT : droits des utilisateurs sous le Data Act

L’un des apports les plus significatifs du Data Act réside dans la création d’un droit d’accès aux données générées par les produits connectés au bénéfice de leurs utilisateurs. Ce droit, consacré principalement aux articles 3 à 7 du règlement (UE) 2023/2854, bouleverse l’équilibre traditionnel dans lequel les fabricants conservaient un monopole de fait sur les données produites par les objets qu’ils commercialisent. Depuis le 12 septembre 2025, date d’application du règlement, les utilisateurs d’objets IoT disposent d’un droit opposable et directement applicable dans l’ensemble de l’Union européenne.

Le principe : une obligation de conception pour l’accès

Avant même d’examiner le droit d’accès lui-même, il convient de souligner l’obligation fondamentale posée par l’article 3 du Data Act. Ce texte impose aux fabricants de produits connectés et aux fournisseurs de services connexes une obligation de conception orientée vers l’accès (design for access).

Concrètement, les produits connectés doivent être conçus et fabriques, et les services connexes doivent être fournis, de manière à ce que les données générées par leur utilisation soient :

• Accessibles facilement par l’utilisateur, sans obstacle technique disproportionné.
• Accessibles gratuitement, sans frais supplémentaires lies à l’accès aux données.
• Accessibles de manière continue et en temps réel, lorsque cela est techniquement possible et pertinent.
• Fournies dans un format complet, structuré, couramment utilise et lisible par machine.

Cette obligation de conception est une obligation de résultat. Le fabricant ne peut pas se contenter de promettre l’accès aux données ; il doit concevoir le produit de telle sorte que cet accès soit effectivement garanti des la mise sur le marché.

L’article 3 prévoit également une obligation d’information précontractuelle. Avant la conclusion d’un contrat d’achat, de location ou de leasing d’un produit connecté, l’utilisateur doit être informe de manière claire et compréhensible :

• De la nature, du volume et de la fréquence de collecte des données que le produit est susceptible de générer.
• De la manière dont l’utilisateur peut accéder à ces données.
• De l’éventuelle intention du fabricant d’utiliser ces données lui-même ou de les partager avec des tiers, et dans quelles conditions.

Le droit d’accès de l’utilisateur (article 4)

Qui est “utilisateur” au sens du Data Act ?

La notion d’utilisateur est définie à l’article 2(12) du Data Act. Il s’agit de toute personne physique ou morale qui possede, loué ou prend en leasing un produit connecté, ou qui reçoit un service connexe.

Cette définition est volontairement large. Elle couvre :

• Le consommateur qui acheté un objet connecté pour son usage personnel (montré connectee, thermostat intelligent, enceinte connectee).
• L’entreprise qui acheté ou loué des machines industrielles équipées de capteurs IoT.
• L’exploitant agricole qui utilise des équipements de précision connectés.
• Le gestionnaire de flotte qui utilise des véhicules connectés.
• L’établissement de santé qui exploite des dispositifs médicaux connectés.

Un point essentiel : l’utilisateur au sens du Data Act n’est pas nécessairement la personne concernée au sens du RGPD. Une entreprise peut être utilisateur d’un produit connecté dont les données concernent des personnes physiques (salariés, patients, conducteurs). Dans ce cas, le droit d’accès Data Act bénéficie à l’entreprise, mais l’exercice de ce droit doit respecter les droits des personnes concernées au titre du RGPD, notamment les principes de privacy by design et de sécurité des données.

Quelles données sont couvertes ?

Le droit d’accès porte sur les données générées par l’utilisation du produit connecté ou du service connexe. Le considérant 15 du Data Act précise que cela inclut :

• Les données enregistrées intentionnellement par l’utilisateur (par exemple, les reglages d’un thermostat).
• Les données générées comme sous-produit de l’action de l’utilisateur (par exemple, les données de télémétrie d’un véhicule en mouvement).
• Les données générées par le fonctionnement du produit lui-même (par exemple, les données de performance d’une machine industrielle).

En revanche, le droit d’accès ne couvre pas :

• Les données inférées ou dérivées par le fabricant à partir des données brutes (par exemple, les résultats d’un algorithme predictif applique aux données du produit).
• Les données qui ne sont pas générées par l’utilisation du produit (par exemple, les données de conception du produit ou le code source du logiciel embarque).

Conditions d’exercice

L’utilisateur peut exercer son droit d’accès sans avoir a justifier d’un motif. Le détenteur de données (généralement le fabricant) doit fournir les données :

• Sans retard injustifié, et dans les délais éventuellement convenus contractuellement.
• Gratuitement, sans frais lies à l’accès proprement dit.
• Dans un format structuré, couramment utilise et lisible par machine, ainsi que, le cas échéant, dans le même format que celui dans lequel le détenteur les reçoit ou les génère.
• De manière continue et en temps réel, lorsque cela est techniquement possible.

Le détenteur de données ne peut pas invoquer le secret des affaires pour refuser purement et simplement l’accès. Il peut toutefois appliquer des mesures proportionnées pour protéger ses secrets d’affaires, par exemple en limitant l’accès à certaines metadonnees ou en imposant des accords de confidentialité.

Le partagé avec des tiers (article 5)

Le droit d’accès de l’utilisateur ne se limite pas à un accès pour son propre compte. L’article 5 du Data Act permet à l’utilisateur de demander au détenteur de données de transmettre les données à un tiers de son choix. Ce mécanisme est essentiel pour permettre le développement d’un écosystème de services fondés sur les données IoT.

Fonctionnement du mécanisme

L’utilisateur adresse une demande au détenteur de données, indiquant le tiers auquel les données doivent être transmises. Le détenteur de données est alors tenu de mettre les données à disposition du tiers désigné :

• Sans retard injustifié.
• Dans le même format et avec la même qualité que ceux dont dispose le détenteur.
• De manière continue et en temps réel, le cas échéant.

Obligations du tiers destinataire

Le tiers qui reçoit les données est soumis à des obligations strictes (article 6). Il doit :

• Traiter les données uniquement aux fins convenues avec l’utilisateur. Il ne peut pas utiliser les données pour développer un produit concurrent du produit connecté d’origine.
• Supprimer les données lorsqu’elles ne sont plus nécessaires aux fins convenues.
• Ne pas transmettre les données à un autre tiers sans l’accord de l’utilisateur.
• Respecter le RGPD lorsque les données incluent des données à caractère personnel.

Restrictions au partagé

L’article 6 prévoit des restrictions importantes au partagé avec des tiers. Le tiers destinataire ne peut pas :

• Utiliser les données pour profiler des personnes physiques au sens du RGPD, sauf si cela est strictement nécessaire à la fourniture du service demande par l’utilisateur.
• Rendre les données disponibles à une autre entreprise qui fabrique un produit concurrent du produit connecté d’origine.
• Utiliser les données pour développer un produit en concurrence avec le produit connecté dont elles sont issues.

Ces restrictions visent a protéger les intérêts économiques légitimes du fabricant tout en préservant le droit de l’utilisateur à la libre disposition de ses données.

Les entreprises “gardiens de l’accès” (gatekeepers)

L’article 5(2) du Data Act prévoit une restriction spécifique : les entreprises désignées comme controleurs d’accès (gatekeepers) au titre du règlement sur les marchés numériques (DMA) ne peuvent pas être désignées comme tiers destinataires de données. Cette disposition vise a éviter que les grands acteurs du numérique n’utilisent le Data Act pour renforcer leur position dominante en accumulant des données supplémentaires.

Exemples concrets d’application

Véhicules connectés

Le propriétaire d’un véhicule connecté peut exiger du constructeur automobile l’accès aux données générées par son véhicule : données de conduite, informations de diagnostic, consommation énergétique, données de navigation. Il peut également demander que ces données soient transmises à un garagiste indépendant pour l’entretien du véhicule, ou à un assureur pour bénéficier d’une tarification adaptée à son comportement de conduite.

Machines industrielles

Une usine qui exploite des machines-outils équipées de capteurs IoT peut accéder aux données de performance, d’usure et de consommation énergétique de ces machines, même si le logiciel embarque est proprietary. Elle peut transmettre ces données à un prestataire de maintenance predictive tiers, brisant ainsi le monopole du fabricant sur les services de maintenance.

Appareils électroménagers

L’utilisateur d’un refrigerateur connecté peut accéder aux données de consommation énergétique et d’utilisation de l’appareil. Ces données peuvent être partagées avec un fournisseur d’énergie pour optimiser la consommation, ou avec un service tiers de gestion domotique.

Agriculture de précision

Un exploitant agricole utilisant des tracteurs connectés et des capteurs de sol IoT peut accéder à l’ensemble des données agronomiques générées par ces équipements. Il peut transmettre ces données à un conseiller agronomique indépendant, sans être contraint de recourir aux services du fabricant du matériel.

Dispositifs médicaux

Un établissement de santé utilisant des dispositifs médicaux connectés (moniteurs de patients, pompes a perfusion connectées) peut accéder aux données générées par ces dispositifs. Toutefois, lorsque ces données constituent des données de santé au sens du RGPD, des garanties supplémentaires s’appliquent, notamment en matière de base légale et de mesures de sécurité renforcées. Un audit RGPD préalable est recommandé pour vérifier la conformité de ces traitements.

Les limités du droit d’accès

Le droit d’accès n’est pas absolu. Le Data Act prévoit plusieurs limités :

• Protection des secrets d’affaires : le détenteur peut imposer des mesures proportionnées de confidentialité.
• Sécurité : l’accès ne doit pas compromettre la sécurité du produit connecté ni créer de risque pour les utilisateurs.
• Droits des tiers : lorsque les données incluent des données personnelles de personnes physiques autres que l’utilisateur, le RGPD s’applique pleinement.
• Legislation sectorielle : le Data Act est sans préjudice des législations sectorielles spécifiques (par exemple, les règlementations applicables aux dispositifs médicaux ou aux véhicules).

Sanctions en cas de non-respect

Le non-respect des obligations d’accès aux données expose le détenteur de données à des sanctions définies par chaque État membre. Ces sanctions doivent être effectives, proportionnées et dissuasives. Les autorités nationales compétentes désignées par les États membres sont chargées de veiller au respect de ces obligations et de traiter les plaintes des utilisateurs.

Conclusion

Le droit d’accès aux données IoT constitue une avancée majeure pour les utilisateurs de produits connectés, qu’ils soient consommateurs ou entreprises. En imposant une obligation de conception orientée vers l’accès et en permettant le partagé libre des données avec des tiers, le Data Act rompt avec le modèle dans lequel les fabricants conservaient un contrôle exclusif sur les données générées par leurs produits. La mise en oeuvre effective de ce droit supposera néanmoins une vigilance tant de la part des utilisateurs, qui doivent connaître et exercer leurs droits, que des autorités de contrôle, qui devront veiller au respect effectif de ces nouvelles obligations. Pour une analyse complète du cadre réglementaire, nous renvoyons à notre guide complet du Data Act.