Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Vendredi 17 avril 2026
Accueil/Data Act/Data Act : guide complet du règlement européen sur les donné...
Data Act

Data Act : guide complet du règlement européen sur les données

Le Data Act crée de nouveaux droits d'accès aux données des produits connectés et facilité le changement de fournisseur cloud.

Par Thiébaut DevergrannePublie le 12 fevrier 2026Mis a jour le 12 fevrier 202612 min de lecture
Sommaire
  1. Pourquoi le Data Act a-t-il été adopté ?
  2. Les dispositions clés du Data Act
  3. Calendrier d’application
  4. Relation entre le Data Act et le RGPD
  5. Sanctions
  6. Champ d’application territorial et personnel
  7. Implications pratiques pour les entreprises
  8. Conclusion
  9. FAQ

Le Data Act (règlement (UE) 2023/2854) constitue l’une des pièces maitresses de la stratégie européenne en matière de données. Adopte le 13 décembre 2023 et entre en application le 12 septembre 2025, ce règlement établit des règles harmonisées concernant l’accès équitable aux données et leur utilisation. Il s’agit d’un texte structurant qui modifie en profondeur les relations entre fabricants de produits connectés, utilisateurs, fournisseurs de services cloud et organismes du secteur public.

Pourquoi le Data Act a-t-il été adopté ?

L’adoption du Data Act répond à un constat simple : l’économie européenne produit des volumes massifs de données, notamment via les objets connectés (IoT), mais une part considérable de ces données reste inexploitee ou monopolisee par un nombre restreint d’acteurs. Selon les estimations de la Commission européenne, environ 80 % des données industrielles ne sont jamais utilisées après leur collecte initiale.

Plusieurs facteurs ont motivé cette initiative législative :

  • Le déséquilibre contractuel entre fabricants de produits connectés et utilisateurs, ces derniers n’ayant généralement aucun accès aux données générées par les produits qu’ils achetent ou louent.
  • La concentration du marché cloud, ou les pratiques de verrouillage (lock-in) des grands fournisseurs freinent la mobilite des clients et limitent la concurrence.
  • L’insuffisance du cadre existant : la directive 96/9/CE sur les bases de données creait une protection sui generis qui pouvait entraver le partagé de données générées par des machines.
  • Les besoins du secteur public en matière d’accès aux données détenues par le secteur privé, notamment en situation d’urgence.

Le Data Act s’inscrit dans un écosystème législatif plus large comprenant le Data Governance Act, le règlement sur l’intelligence artificielle et le Cyber Resilience Act, formant ensemble un cadre cohérent pour l’économie numérique européenne.

Les dispositions clés du Data Act

1. Accès aux données des produits connectés (Chapitres II et III)

C’est le coeur du règlement. Le Data Act impose aux fabricants de produits connectés et aux fournisseurs de services connexes de rendre accessibles aux utilisateurs les données générées par l’utilisation de ces produits. Cette obligation couvre aussi bien les données brutes que les metadonnees nécessaires à leur interprétation.

L’article 3 impose une obligation de conception (design for access) : les produits connectés doivent être conçus et fabriques de manière à ce que les données soient accessibles facilement, gratuitement et, le cas échéant, de manière continue et en temps réel.

L’article 4 consacré le droit de l’utilisateur d’accéder à ses données. Ce droit s’applique à toute personne physique ou morale qui possede, loué ou prend en leasing un produit connecté.

L’article 5 permet à l’utilisateur de demander que ses données soient partagées avec un tiers de son choix. Ce mécanisme est essentiel pour favoriser l’émergence de services innovants fondés sur les données IoT.

Les données couvertes incluent notamment celles générées par les véhicules connectés, les appareils électroménagers intelligents, les machines industrielles équipées de capteurs, les dispositifs médicaux connectés ou encore les équipements agricoles de précision.

2. Encadrement du partagé B2B (Chapitre IV)

Le Data Act établit un cadre de référence pour les contrats de partagé de données entre entreprises. L’objectif est de prévenir les clauses contractuelles abusives, en particulier lorsqu’elles sont imposées par une partie en position de force.

L’article 13 énumère les clauses considérées comme abusives, suivant un mécanisme similaire a celui prévu par la directive sur les clauses abusives dans les contrats de consommation. Par exemple, est considérée comme abusive une clause qui exclut ou limite la responsabilité de la partie qui a imposé la clause, ou qui permet à cette partie de modifier unilatéralement les conditions du contrat.

Le règlement prévoit également que les micro, petites et moyennes entreprises bénéficient d’une protection renforcée dans le cadre de ces négociations contractuelles.

3. Changement de fournisseur cloud (Chapitre VI)

Le Data Act s’attaque frontalement aux pratiques de verrouillage des fournisseurs de services cloud (IaaS, PaaS, SaaS). Les nouvelles obligations comprennent :

  • La suppression progressive des frais de transfert : à compter du 12 janvier 2027, les fournisseurs cloud ne pourront plus facturer de frais de changement de fournisseur.
  • Un délai de transition maximal de 30 jours pour compléter le processus de migration.
  • L’obligation d’équivalence fonctionnelle : le fournisseur d’origine doit prendre toutes les mesures raisonnables pour faciliter l’atteinte d’une équivalence fonctionnelle lors de la migration vers un nouveau service.
  • L’obligation de portabilité des données dans des formats ouverts et lisibles par machine.
  • L’interdiction des obstacles techniques artificiellement crées pour empêcher le changement de fournisseur.

Ces dispositions auront un impact direct sur les hyperscalers (AWS, Azure, Google Cloud Platform) ainsi que sur l’ensemble des fournisseurs de services de traitement de données opérant sur le marché européen.

4. Accès du secteur public aux données (Chapitre V)

Le Data Act prévoit un mécanisme permettant aux organismes du secteur public d’accéder aux données détenues par des entreprises dans des circonstances spécifiques :

  • En cas de nécessité exceptionnelle liée à une urgence publique (pandemie, catastrophe naturelle, catastrophe d’origine humaine).
  • Pour répondre à une urgence publique déjà déclarée.
  • Pour l’accomplissement d’une mission d’intérêt général prévue par le droit de l’Union ou le droit national, lorsque les données ne peuvent être obtenues autrement dans des conditions équivalentes.

Cet accès est gratuit lorsqu’il répond à une urgence publique. En dehors de ces cas, une compensation raisonnable peut être prévue.

5. Interopérabilité et normes (Chapitre VIII)

Le Data Act fixé des exigences essentielles en matière d’interopérabilité pour les espaces de données européens et pour les opérateurs de services de traitement de données. Le règlement prévoit :

  • Des exigences d’interopérabilité pour les espaces de données, couvrant notamment les formats de données, les interfaces de programmation (API) et les protocoles de communication.
  • Des normes harmonisées que la Commission pourra adopter par voie d’actes délégués.
  • Des exigences spécifiques pour les contrats intelligents (smart contracts) utilisés dans le cadre de l’exécution automatisée d’accords de partagé de données.

6. Protection des secrets d’affaires et des données non personnelles (Chapitre III)

Le règlement prévoit des mécanismes de protection des secrets d’affaires dans le contexte du partagé de données. Le détenteur de données peut appliquer des mesures techniques et organisationnelles proportionnées pour préserver la confidentialité des secrets d’affaires, y compris des accords de confidentialité et des protocoles d’accès restreint.

Calendrier d’application

Le Data Act suit un calendrier échelonné :

Date Événement
13 décembre 2023 Publication au Journal officiel de l’UE
11 janvier 2024 Entrée en vigueur
12 septembre 2025 Application générale du règlement
12 janvier 2027 Suppression des frais de changement de fournisseur cloud
12 septembre 2027 Application des exigences relatives aux contrats intelligents

Il est essentiel pour les entreprises de noter que la date du 12 septembre 2025 est la date pivot à partir de laquelle la majorité des obligations deviennent contraignantes.

Relation entre le Data Act et le RGPD

La question de l’articulation entre le Data Act et le RGPD est fondamentale. Le Data Act traite de l’ensemble des données générées par les produits connectés, qu’il s’agisse de données personnelles ou non personnelles. Lorsque les données concernées sont des données à caractère personnel, le RGPD prévaut.

L’article 1(5) du Data Act est explicité : le règlement ne porte pas atteinte au RGPD ni à la directive ePrivacy. Concrètement, cela signifie que :

  • L’accès aux données personnelles via le Data Act doit respecter les principes du RGPD (base légale, minimisation, limitation de la conservation, etc.).
  • Les droits des personnes concernées au titre du RGPD ne sont ni diminues ni modifiés par le Data Act.
  • La notion d’utilisateur au sens du Data Act ne se confond pas avec celle de personne concernée au sens du RGPD.

Les entreprises devront donc mettre en oeuvre une double conformité, intégrant simultanément les exigences du RGPD et celles du Data Act. Cette articulation constitue un défi opérationnel significatif qui nécessite une approche juridique et technique coordonnée.

Sanctions

Le Data Act confié aux États membres le soin de définir les sanctions applicables en cas de violation du règlement. Néanmoins, le texte impose que ces sanctions soient effectives, proportionnées et dissuasives.

Bien que le règlement ne fixé pas de plafonds d’amendes harmonisés à l’échelle européenne (contrairement au RGPD avec ses 4 % du chiffre d’affaires mondial), les autorités nationales désignées disposeront de pouvoirs d’enquête et de sanction significatifs. Chaque État membre doit désigner une ou plusieurs autorités compétentes chargées de l’application du règlement.

Il convient de noter que les violations du Data Act impliquant des données personnelles pourront également faire l’objet de sanctions au titre du RGPD, créant ainsi un risque de cumul des sanctions.

Champ d’application territorial et personnel

Le Data Act s’applique à un large éventail d’acteurs économiques, dès lors qu’ils opèrent sur le marché intérieur européen :

  • Les fabricants de produits connectés mis sur le marché de l’Union, quel que soit le lieu d’établissement du fabricant.
  • Les fournisseurs de services connexes, c’est-à-dire les services numériques lies à un produit connecté et nécessaires à son fonctionnement ou à l’exploitation de ses données.
  • Les fournisseurs de services de traitement de données (cloud IaaS, PaaS, SaaS) proposant leurs services à des clients établis dans l’Union.
  • Les utilisateurs de produits connectés établis dans l’Union.
  • Les destinataires de données auxquels les données sont mises à disposition.

Cette approche extraterritoriale, similaire a celle du RGPD, signifie qu’un fabricant établi en Chine ou aux États-Unis qui commercialise des produits connectés dans l’Union européenne sera soumis aux obligations du Data Act. Il devra désigner un représentant légal dans l’Union si nécessaire.

Implications pratiques pour les entreprises

La mise en conformité avec le Data Act requiert une démarche structurée (voir notre plan d’action détaillé pour préparer votre organisation) :

  1. Cartographie des données : identifier l’ensemble des données générées par les produits connectés fabriques ou opérés par l’entreprise, en distinguant données personnelles et non personnelles.
  2. Audit des contrats : revoir les contrats de partagé de données B2B et les conditions générales des services cloud pour identifier les clauses potentiellement non conformes ou abusives au sens de l’article 13.
  3. Mise en place des mécanismes d’accès : développer les interfaces techniques (API, tableaux de bord, exports automatisés) permettant aux utilisateurs d’accéder à leurs données conformément aux articles 3 et 4.
  4. Préparation à la portabilité cloud : anticiper les obligations de portabilité et de suppression des frais de transfert, en documentant les formats d’export et les procédures de migration.
  5. Revision de la gouvernance des données : intégrer les exigences du Data Act dans le cadre de gouvernance existant, en articulant ces obligations avec celles du RGPD, du Data Governance Act et des règlementations sectorielles applicables.
  6. Formation des équipes : sensibiliser les équipes juridiques, techniques et commerciales aux nouvelles obligations et aux procédures a suivre en cas de demande d’accès ou de partagé de données.
  7. Veille réglementaire : suivre l’adoption des actes délégués et des normes harmonisées qui preciseront les exigences techniques du règlement, notamment en matière d’interopérabilité et de contrats intelligents.

Conclusion

Le Data Act représente un changement de paradigme dans la gouvernance des données en Europe. En imposant l’accès aux données des produits connectés, en encadrant le partagé B2B, en facilitant la portabilité cloud et en ouvrant l’accès aux données pour le secteur public, ce règlement vise a créer un marché européen des données plus équitable, plus concurrentiel et plus dynamique. Les entreprises disposent d’un délai désormais revolu pour se mettre en conformité, l’essentiel des obligations étant applicable depuis le 12 septembre 2025. La complexité du texte et ses interactions avec le RGPD, le Data Governance Act et le Cyber Resilience Act imposent une approche transversale de la conformité, associant compétences juridiques, techniques et stratégiques.

FAQ

Qu’est-ce que le Data Act impose aux fabricants de produits connectés ?

Le Data Act obligé les fabricants a concevoir leurs produits de manière à ce que les données générées soient accessibles facilement, gratuitement et en temps réel aux utilisateurs. L’utilisateur peut également demander le partagé de ses données avec un tiers de son choix. Cette obligation couvre les données brutes comme les metadonnees nécessaires à leur interprétation.

Le Data Act remplacé-t-il le RGPD ?

Non, le RGPD prévaut lorsque les données concernées sont des données à caractère personnel. Le Data Act traite de l’ensemble des données (personnelles et non personnelles) générées par les produits connectés. Les entreprises doivent assurer une double conformité, en respectant simultanément les exigences des deux textes. Un audit RGPD intégrant les obligations du Data Act est recommandé.

Quels changements le Data Act impose-t-il aux fournisseurs cloud ?

À compter du 12 janvier 2027, les fournisseurs cloud ne pourront plus facturer de frais de changement de fournisseur. Ils devront également respecter un délai de transition maximal de 30 jours, garantir la portabilité des données dans des formats ouverts et supprimer tout obstacle technique artificiel au changement de fournisseur.

Le Data Act s’applique-t-il aux entreprises hors de l’UE ?

Oui, le Data Act à une portée extraterritoriale similaire au RGPD. Un fabricant établi en Chine ou aux États-Unis qui commercialise des produits connectés dans l’Union européenne est soumis aux obligations du règlement. Il devra désigner un représentant légal dans l’Union si nécessaire.

Quelles sont les sanctions prévues par le Data Act ?

Le Data Act impose que les sanctions soient effectives, proportionnées et dissuasives, mais laissé aux États membres le soin de définir les montants. Les violations impliquant des données personnelles peuvent également faire l’objet de sanctions au titre du RGPD, créant un risque de cumul des sanctions.

Articles lies

Data Act

Portabilite cloud : les nouvelles obligations du Data Act

12 mars 2026 · 10 min
Data Act

Data Act vs RGPD : différences, interactions et hiérarchie

26 fevrier 2026 · 9 min
Data Act

Data Act et API : obligations de mise a disposition des données

23 fevrier 2026 · 9 min