Data Act et fabricants IoT : partagé de données

Le Data Act (règlement (UE) 2023/2854), applicable depuis le 12 septembre 2025, impose aux fabricants d’objets connectés (IoT – Internet of Things) des obligations inédites en matière de partagé de données. Jusqu’à l’entrée en application de ce texte, les fabricants d’objets connectés maitrisaient quasi exclusivement les données générées par leurs produits. Le Data Act renverse cette logique en consacrant le droit des utilisateurs a accéder aux données générées par les produits connectés qu’ils utilisent, et à les partager avec des tiers de leur choix.

Pour les fabricants d’objets connectés, cette obligation de partagé transformé profondément la conception des produits, les modèles économiques et les relations avec les clients et les prestataires de services. La question de la propriété des données des produits connectés est au coeur de cette transformation.

Le champ d’application : quels produits connectés sont concernés

La notion de “produit connecté”

Le Data Act s’applique aux produits connectés définis comme tout objet qui obtient, génère ou collecté des données concernant son utilisation ou son environnement, et qui est capable de communiquer ces données via un service de communication électronique, une connexion physique ou un accès sur l’appareil.

Cette définition couvre un spectre très large de produits : les appareils électroménagers connectés (refrigerateurs, lave-linge, aspirateurs robots), les véhicules connectés, les dispositifs de santé connectés (montres, bracelets, balances), les équipements industriels connectés (machines, capteurs, automates), les systèmes domotiques (thermostats, caméras, serrures), les jouets connectés, et les équipements agricoles connectés.

Les données concernées

Les données visées par le Data Act sont les données générées par l’utilisation du produit connecté, qu’il s’agisse de données brutes captees par les capteurs du produit (température, mouvement, son, image) ou de données dérivées du traitement interne (statistiques d’utilisation, diagnostics, performances). Les données inférées ou déduites par le fabricant à partir des données brutes au moyen d’algorithmes propriétaires ne sont en principe pas couvertes par l’obligation de partagé.

Les obligations des fabricants IoT

L’obligation de conception pour l’accès (article 3)

L’article 3 du Data Act impose aux fabricants de concevoir et fabriquer les produits connectés de manière à ce que les données soient accessibles à l’utilisateur de manière aisée, sécurisée, gratuité et dans un format structuré, couramment utilise et lisible par machine.

Cette obligation de conception implique des choix techniques structurants. Le fabricant doit intégrer des interfaces d’accès aux données (API, portail web, application mobile), implémenter des formats de données standardises et interopérables, prévoir des mécanismes d’authentification sécurisés pour l’accès aux données, et documenter les types de données accessibles, leur volume et leur fréquence de génération.

L’obligation de conception pour l’accès s’applique à tout nouveau produit connecté mis sur le marché à compter du 12 septembre 2025. Les produits existants mis sur le marché avant cette date ne sont pas concernés, sauf modification substantielle.

L’obligation de mise à disposition des données à l’utilisateur (article 4)

L’article 4 impose au fabricant (ou au “détenteur de données” – le titulaire du droit de mettre à disposition les données) de mettre les données générées par le produit connecté à la disposition de l’utilisateur. Cette mise à disposition doit être gratuité, sans retard injustifié, de manière continue et en temps réel le cas échéant, dans un format structuré, couramment utilise et lisible par machine, et dans la même qualité que celle accessible au fabricant lui-même.

L’utilisateur n’a pas a justifier sa demande. L’accès aux données est un droit attache à l’utilisation du produit connecté.

L’obligation de partagé avec des tiers (article 5)

L’article 5 du Data Act impose au fabricant de mettre les données à la disposition d’un tiers désigné par l’utilisateur, à la demande de ce dernier. Le tiers peut être un prestataire de maintenance, un fournisseur de services complémentaires, un concurrent du fabricant proposant des services bases sur les données du produit, ou toute autre entité choisie par l’utilisateur.

Le fabricant ne peut pas s’opposer au choix du tiers par l’utilisateur, sauf si le tiers utilise les données pour développer un produit connecté concurrent (article 6). Le fabricant peut exiger du tiers une compensation raisonnable couvrant les coûts de mise à disposition, mais cette compensation ne doit pas être dissuasive.

L’information préalable de l’utilisateur (article 3.2)

Avant la conclusion du contrat de vente ou de location, le fabricant doit informer l’utilisateur, de manière claire et compréhensible, de la nature des données générées par le produit, du volume et de la fréquence de génération, de la finalité de la collecte par le fabricant, des modalités d’accès aux données, et des droits de partagé avec des tiers.

Cette information doit figurer dans la documentation du produit, les conditions contractuelles, ou un document spécifique accessible avant l’achat.

L’articulation avec le RGPD

Les données personnelles dans les données IoT

Les données générées par les produits connectés sont fréquemment des données personnelles au sens du RGPD : les données d’utilisation d’un thermostat connecté révèlent les habitudes de vie, les données d’une montré connectee sont des données de santé, les données d’un véhicule connecté permettent la géolocalisation du conducteur.

Le Data Act s’articulé avec le RGPD selon le principe suivant : le Data Act ne modifie pas les obligations du RGPD. Lorsque les données générées par un produit connecté sont des données personnelles, le fabricant doit satisfaire simultanément aux obligations du Data Act et a celles du RGPD. L’articulation entre Data Act et RGPD est un point de vigilance majeur.

Les implications pratiques

La base légale pour le traitement des données personnelles (RGPD) est distincte du droit d’accès aux données (Data Act). L’utilisateur à le droit d’accéder aux données au titre du Data Act, indépendamment de la base légale du traitement au titre du RGPD. Le partagé avec un tiers doit respecter les droits des personnes concernées : si les données partagées contiennent des données personnelles de tiers (par exemple, les données d’un assistant vocal captant les voix de tous les occupants du domicile), le consentement de ces tiers peut être requis.

Le fabricant doit mettre en oeuvre les mesures de sécurité appropriées pour protéger les données personnelles lors de l’accès et du partagé, conformément à l’article 32 du RGPD et aux recommandations de la CNIL.

L’articulation avec le CRA

Les fabricants d’objets connectés sont également concernés par le Cyber Resilience Act, qui impose des exigences de cybersécurité pour les produits comportant des éléments numériques. L’obligation de conception pour l’accès aux données (Data Act) doit être articulée avec l’obligation de conception sécurisée (CRA). Les interfaces d’accès aux données doivent être sécurisées par conception et ne pas créer de vulnérabilités exploitables.

L’articulation entre le Data Act et les obligations de sécurité des objets connectés impose une approche intégrée de la conception produit.

Les secrets d’affaires et les données propriétaires

La protection des secrets d’affaires

Le Data Act prévoit que le fabricant peut prendre des mesures pour protéger ses secrets d’affaires. Le partagé de données ne doit pas permettre au tiers ou à l’utilisateur de reconstituer les algorithmes propriétaires du fabricant. Les données brutes doivent être partagées, mais les données inférées par des algorithmes propriétaires peuvent être exclues.

Des accords de confidentialité peuvent être conclus avec les tiers destinataires des données. Le fabricant peut refuser le partagé s’il démontre que la divulgation de certaines données compromettrait de manière disproportionnée ses secrets d’affaires, mais cette exception est d’interprétation stricte.

Les données non personnelles

Pour les données non personnelles générées par le produit connecté, le Data Act s’applique pleinement sans les contraintes du RGPD. Le fabricant doit néanmoins garantir la sécurité et l’intégrité des données lors du partagé, conformément aux exigences d’interopérabilité du Data Act et aux normes techniques applicables.

Les conséquences sur les modèles économiques

Le Data Act remet en question les modèles économiques fondés sur l’exclusivite des données IoT. Les fabricants qui monetisaient les données de leurs produits connectés (vente d’analyses, services premium bases sur les données) doivent adapter leur stratégie. Les pistes d’adaptation incluent le développement de services à forte valeur ajoutée exploitant les données inférées (non couvertes par l’obligation de partagé), la monétisation de l’expertise et de l’interprétation des données, la création d’écosystèmes de partenaires autour des données partagées, et l’amélioration de l’expérience utilisateur pour fidéliser au-delà de l’accès aux données brutes.

Le Data Act est aussi une opportunité : l’ouverture des données favorise l’innovation et la création de services complémentaires, qui peuvent renforcer la valeur du produit pour l’utilisateur et, indirectement, pour le fabricant.

FAQ

Les fabricants doivent-ils partager toutes les données générées par le produit connecté ?

Le Data Act impose le partagé des données brutes générées par l’utilisation du produit connecté et des données dérivées du traitement interne accessible au fabricant. En revanche, les données inférées par des algorithmes propriétaires (analyses avancées, predictions, modèles) ne sont pas couvertes par l’obligation de partagé. Le fabricant peut également protéger ses secrets d’affaires en limitant le partagé aux données nécessaires, sous réserve que cette limitation ne vide pas le droit d’accès de sa substance. La frontiere entre données “dérivées” et “inférées” peut donner lieu à des interprétations divergentes, que les juridictions européennes seront amenées a préciser.

Un fabricant peut-il facturer l’accès aux données ?

L’accès aux données par l’utilisateur doit être gratuit (article 4). En revanche, lorsque les données sont mises à disposition d’un tiers à la demande de l’utilisateur, le fabricant peut demander au tiers une compensation raisonnable couvrant les coûts techniques de mise à disposition. Cette compensation ne doit pas être dissuasive et ne doit pas servir de barrière à l’entrée. Pour les PME désignées comme tiers destinataires, la compensation est plafonnée aux coûts marginaux de mise à disposition.

Le Data Act s’applique-t-il aux produits connectés vendus avant le 12 septembre 2025 ?

Non. L’obligation de conception pour l’accès aux données s’applique aux produits connectés mis sur le marché à compter du 12 septembre 2025. Les produits mis sur le marché avant cette date ne sont pas soumis à l’obligation de conception. Toutefois, si les données sont accessibles au fabricant pour ces produits existants, l’obligation de mise à disposition des données à l’utilisateur s’applique néanmoins à compter du 12 septembre 2025. Le fabricant n’a pas a modifier un produit existant pour créer un accès aux données, mais il doit partager les données auxquelles il a déjà accès.