Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Vendredi 17 avril 2026
Accueil/Data Act/Data Act et API : obligations de mise a disposition des donn...
Data Act

Data Act et API : obligations de mise a disposition des données

Le Data Act impose aux fabricants de produits connectés de fournir un accès aux données via des API. Obligations techniques, délais et sanctions.

Par Thiébaut DevergrannePublie le 23 fevrier 2026Mis a jour le 23 fevrier 20269 min de lecture
Sommaire
  1. Le cadre juridique de la mise à disposition des données
  2. Les exigences techniques pour les API
  3. L’articulation avec le RGPD
  4. Les obligations de compensation
  5. Le calendrier de mise en conformité
  6. Les sanctions en cas de non-conformité
  7. FAQ

Le Data Act (règlement (UE) 2023/2854) impose aux fabricants de produits connectés et aux fournisseurs de services connexes de mettre à disposition les données générées par l’utilisation de leurs produits. Cette obligation de mise à disposition soulevé des questions techniques majeures, notamment quant aux interfaces de programmation applicative (API) qui devront être déployées pour satisfaire aux exigences du règlement. L’article analyse en détail les obligations techniques et juridiques pesant sur les détenteurs de données en matière d’accès programmatique.

Le cadre juridique de la mise à disposition des données

L’obligation de conception accessible (article 3)

L’article 3 du Data Act impose une obligation de design for access : les produits connectés et les services connexes doivent être conçus et fabriques de manière à ce que les données générées par leur utilisation soient accessibles facilement, gratuitement et, le cas échéant, de manière continue et en temps réel. Cette obligation de conception conditionné directement l’architecture technique des systèmes d’information des fabricants.

Concrètement, le fabricant doit prévoir, des la phase de développement du produit, les mécanismes techniques permettant l’extraction et la transmission des données. Il ne s’agit pas d’une simple faculté mais bien d’une obligation de résultat : si le produit ne permet pas techniquement l’accès aux données, le fabricant est en infraction.

Le droit d’accès de l’utilisateur (article 4)

L’article 4 du Data Act consacré le droit de l’utilisateur d’accéder aux données générées par l’utilisation du produit connecté. Ce droit s’exercé directement – lorsque les données sont accessibles depuis le produit lui-même – ou sur demande auprès du détenteur des données. Dans ce second cas, le détenteur doit fournir les données sans retard injustifié, gratuitement et, le cas échéant, de manière continue et en temps réel.

Le partagé avec des tiers (article 5)

L’article 5 permet à l’utilisateur de demander que ses données soient mises à disposition d’un tiers de son choix. Le détenteur des données doit alors fournir ces données au tiers désigné dans les mêmes conditions que celles applicables à l’utilisateur, c’est-à-dire sans retard injustifié, dans la même qualité et de manière continue si la demande le prévoit.

Les exigences techniques pour les API

L’obligation d’interopérabilité

Le Data Act ne mentionne pas expressément le terme “API” dans ses dispositions relatives à l’accès aux données des produits connectés. Néanmoins, les exigences qu’il posé – accès continu, en temps réel, dans un format structuré et lisible par machine – impliquent nécessairement le déploiement d’interfaces programmatiques. Le chapitre VIII du règlement, relatif à l’interopérabilité, renforcé cette interprétation en exigeant que les données soient mises à disposition dans des formats conformes aux spécifications d’interopérabilité et aux normes harmonisées applicables.

L’article 33 précise que les données doivent être mises à disposition dans un format qui respecte les exigences essentielles d’interopérabilité définies à l’article 33, paragraphes 1 et 2. Ces exigences couvrent notamment la transparence des formats, la documentation technique et la possibilité de traitement automatisé.

Les standards techniques applicables

La Commission européenne est habilitée, en vertu de l’article 34, a demander aux organisations européennes de normalisation (CEN, CENELEC, ETSI) d’élaborer des normes harmonisées pour les API de mise à disposition des données. En attendant l’adoption de ces normes, les détenteurs de données doivent s’appuyer sur les standards techniques existants, notamment :

  • Les API RESTful conformes aux spécifications OpenAPI, qui constituent le standard de facto pour les échanges de données en temps réel.
  • Les protocoles de communication IoT tels que MQTT, CoAP ou OPC UA pour les données industrielles.
  • Les formats de données structurés comme JSON, XML ou CSV, qui garantissent l’interopérabilité et la lisibilité par machine.

Le recours à des formats propriétaires fermant l’accès aux données constituerait une violation des obligations d’interopérabilité du règlement.

Les exigences de sécurité des API

La mise à disposition des données via des API doit s’effectuer dans le respect des exigences de sécurité imposées par le règlement. L’article 4, paragraphe 6, précise que le détenteur des données peut prendre des mesures raisonnables pour protéger les secrets d’affaires et assurer la sécurité des systèmes. Ces mesures doivent néanmoins rester proportionnées et ne pas constituer un obstacle injustifié à l’exercice du droit d’accès.

En pratique, cela impliqué la mise en oeuvre de mécanismes d’authentification robustes (OAuth 2.0, certificats clients), de contrôles d’accès granulaires, de chiffrement des communications (TLS) et de journalisation des accès. Les recommandations de l’ANSSI en matière de sécurisation des API constituent un référentiel technique pertinent en la matière.

L’articulation avec le RGPD

La question des données personnelles

Lorsque les données mises à disposition via les API contiennent des données à caractère personnel, les obligations du RGPD s’appliquent cumulativement a celles du Data Act. L’article 1er, paragraphe 5, du Data Act affirme expressément que le règlement ne porte pas atteinte au RGPD et qu’en cas de conflit entre les deux textes, le RGPD prévaut.

Cette articulation à des conséquences pratiques directes sur la conception des API. Le détenteur des données doit notamment s’assurer que les mécanismes d’accès respectent le principe de minimisation (article 5 du RGPD) en ne transmettant que les données strictement nécessaires, et qu’une base légale appropriée fondé le traitement.

La protection des données des tiers

L’article 4, paragraphe 5, du Data Act interdit à l’utilisateur d’utiliser les données obtenues pour développer un produit en concurrence directe avec le produit connecté dont elles sont issues. Mais au-delà de cette restriction, lorsque les données mises à disposition via une API contiennent des données personnelles de tiers (par exemple, dans le cas d’un véhicule connecté utilise par plusieurs conducteurs), le détenteur doit veiller à ce que la transmission s’effectue dans le respect des droits de ces personnes.

Le Data Act prévoit à cet égard que la mise à disposition de données personnelles de tiers ne peut intervenir que sur un fondement juridique validé au titre du RGPD, ce qui peut nécessiter le recueil du consentement des personnes concernées ou l’identification d’un autre fondement prévu à l’article 6 du RGPD.

Les obligations de compensation

Le principe de gratuité pour l’utilisateur

Le Data Act pose le principe de la gratuité de l’accès aux données pour l’utilisateur (article 4, paragraphe 1). Le déploiement et la maintenance des API constituent donc un coût à la charge exclusive du détenteur des données, qui ne peut le répercuter sur l’utilisateur.

La compensation raisonnable pour les tiers

En revanche, lorsque les données sont mises à disposition d’un tiers à la demande de l’utilisateur (article 5), le détenteur peut exiger du tiers une compensation raisonnable. L’article 9 précise que cette compensation ne doit pas dépasser les coûts directement lies à la mise à disposition, incluant les coûts de formatage, de stockage et de mise à disposition technique. Les coûts de développement et de maintenance des API peuvent donc être partiellement répercutés sur les tiers.

Pour les micro, petites et moyennes entreprises tierces, l’article 9, paragraphe 2, plafonne la compensation aux coûts directement lies à la mise à disposition, sans marge supplémentaire.

Le calendrier de mise en conformité

Le Data Act est entre en application le 12 septembre 2025. À compter de cette date, les fabricants de produits connectés mis sur le marché doivent respecter les obligations de conception accessible de l’article 3. Pour les produits déjà sur le marché avant cette date, l’article 50 prévoit une application différée au 12 septembre 2026.

Les entreprises concernées doivent donc, sans tarder, planifier le déploiement de leurs infrastructures API. Ce chantier impliqué :

  1. L’inventaire des données générées par chaque produit connecté
  2. La conception de l’architecture API conforme aux exigences du règlement
  3. Le développement et les tests des endpoints d’accès
  4. La documentation technique complète a destination des utilisateurs et des tiers
  5. L’audit de sécurité des interfaces déployées

Les sanctions en cas de non-conformité

Le Data Act confié aux États membres le soin de définir les sanctions applicables (article 40). Néanmoins, le règlement précise que ces sanctions doivent être effectives, proportionnées et dissuasives. Le refus systématique de mettre à disposition les données via une API conforme, ou le déploiement d’obstacles techniques injustifies à l’accès, pourrait ainsi donner lieu à des sanctions significatives.

En France, la CNIL et les autorités sectorielles compétentes seront chargées du contrôle du respect des obligations du Data Act. Les entreprises ont tout intérêt a anticiper ces obligations pour éviter le risque de sanctions et de contentieux.

FAQ

Les fabricants doivent-ils obligatoirement fournir une API pour le Data Act ?

Le Data Act n’impose pas expressément le déploiement d’une API au sens strict. Il exige en revanche que les données soient accessibles facilement, de manière continue et en temps réel, dans un format structuré et lisible par machine. En pratique, ces exigences cumulées rendent le déploiement d’une API quasi incontournable pour la plupart des produits connectés, a moins qu’un autre mécanisme technique ne remplisse ces conditions.

Quels formats de données sont acceptables pour les API au titre du Data Act ?

Le règlement impose que les données soient mises à disposition dans un format structuré, couramment utilise et lisible par machine. Les formats JSON, XML et CSV sont expressément compatibles avec ces exigences. Les formats propriétaires ne répondant pas aux critères d’interopérabilité de l’article 33 ne sauraient être imposés comme seule option d’accès.

Comment articuler les exigences de sécurité des API avec l’obligation de mise à disposition ?

Le détenteur des données peut mettre en oeuvre des mesures de sécurité raisonnables pour protéger ses systèmes et ses secrets d’affaires. Il peut notamment exiger une authentification préalable, limiter les volumes de requêtes ou chiffrer les communications. Toutefois, ces mesures ne doivent pas constituer un obstacle disproportionné à l’exercice du droit d’accès. Le détenteur doit documenter et justifier chaque mesure restrictive au regard des risques effectifs.

Articles lies

Data Act

Portabilite cloud : les nouvelles obligations du Data Act

12 mars 2026 · 10 min
Data Act

Data Act vs RGPD : différences, interactions et hiérarchie

26 fevrier 2026 · 9 min
Data Act

Data Act et sous-traitants cloud : responsabilités

23 fevrier 2026 · 8 min