Data Act : guide complet du reglement europeen sur les donnees

Le Data Act (reglement (UE) 2023/2854) constitue l’une des pieces maitresses de la strategie europeenne en matiere de donnees. Adopte le 13 decembre 2023 et entre en application le 12 septembre 2025, ce reglement etablit des regles harmonisees concernant l’acces equitable aux donnees et leur utilisation. Il s’agit d’un texte structurant qui modifie en profondeur les relations entre fabricants de produits connectes, utilisateurs, fournisseurs de services cloud et organismes du secteur public.

Pourquoi le Data Act a-t-il ete adopte ?

L’adoption du Data Act repond a un constat simple : l’economie europeenne produit des volumes massifs de donnees, notamment via les objets connectes (IoT), mais une part considerable de ces donnees reste inexploitee ou monopolisee par un nombre restreint d’acteurs. Selon les estimations de la Commission europeenne, environ 80 % des donnees industrielles ne sont jamais utilisees apres leur collecte initiale.

Plusieurs facteurs ont motive cette initiative legislative :

• Le desequilibre contractuel entre fabricants de produits connectes et utilisateurs, ces derniers n’ayant generalement aucun acces aux donnees generees par les produits qu’ils achetent ou louent.
• La concentration du marche cloud, ou les pratiques de verrouillage (lock-in) des grands fournisseurs freinent la mobilite des clients et limitent la concurrence.
• L’insuffisance du cadre existant : la directive 96/9/CE sur les bases de donnees creait une protection sui generis qui pouvait entraver le partage de donnees generees par des machines.
• Les besoins du secteur public en matiere d’acces aux donnees detenues par le secteur prive, notamment en situation d’urgence.

Le Data Act s’inscrit dans un ecosysteme legislatif plus large comprenant le Data Governance Act, le reglement sur l’intelligence artificielle et le Cyber Resilience Act, formant ensemble un cadre coherent pour l’economie numerique europeenne.

Les dispositions cles du Data Act

1. Acces aux donnees des produits connectes (Chapitres II et III)

C’est le coeur du reglement. Le Data Act impose aux fabricants de produits connectes et aux fournisseurs de services connexes de rendre accessibles aux utilisateurs les donnees generees par l’utilisation de ces produits. Cette obligation couvre aussi bien les donnees brutes que les metadonnees necessaires a leur interpretation.

L’article 3 impose une obligation de conception (design for access) : les produits connectes doivent etre concus et fabriques de maniere a ce que les donnees soient accessibles facilement, gratuitement et, le cas echeant, de maniere continue et en temps reel.

L’article 4 consacre le droit de l’utilisateur d’acceder a ses donnees. Ce droit s’applique a toute personne physique ou morale qui possede, loue ou prend en leasing un produit connecte.

L’article 5 permet a l’utilisateur de demander que ses donnees soient partagees avec un tiers de son choix. Ce mecanisme est essentiel pour favoriser l’emergence de services innovants fondes sur les donnees IoT.

Les donnees couvertes incluent notamment celles generees par les vehicules connectes, les appareils electromenagers intelligents, les machines industrielles equipees de capteurs, les dispositifs medicaux connectes ou encore les equipements agricoles de precision.

2. Encadrement du partage B2B (Chapitre IV)

Le Data Act etablit un cadre de reference pour les contrats de partage de donnees entre entreprises. L’objectif est de prevenir les clauses contractuelles abusives, en particulier lorsqu’elles sont imposees par une partie en position de force.

L’article 13 enumere les clauses considerees comme abusives, suivant un mecanisme similaire a celui prevu par la directive sur les clauses abusives dans les contrats de consommation. Par exemple, est consideree comme abusive une clause qui exclut ou limite la responsabilite de la partie qui a impose la clause, ou qui permet a cette partie de modifier unilateralement les conditions du contrat.

Le reglement prevoit egalement que les micro, petites et moyennes entreprises beneficient d’une protection renforcee dans le cadre de ces negociations contractuelles.

3. Changement de fournisseur cloud (Chapitre VI)

Le Data Act s’attaque frontalement aux pratiques de verrouillage des fournisseurs de services cloud (IaaS, PaaS, SaaS). Les nouvelles obligations comprennent :

• La suppression progressive des frais de transfert : a compter du 12 janvier 2027, les fournisseurs cloud ne pourront plus facturer de frais de changement de fournisseur.
• Un delai de transition maximal de 30 jours pour completer le processus de migration.
• L’obligation d’equivalence fonctionnelle : le fournisseur d’origine doit prendre toutes les mesures raisonnables pour faciliter l’atteinte d’une equivalence fonctionnelle lors de la migration vers un nouveau service.
• L’obligation de portabilite des donnees dans des formats ouverts et lisibles par machine.
• L’interdiction des obstacles techniques artificiellement crees pour empecher le changement de fournisseur.

Ces dispositions auront un impact direct sur les hyperscalers (AWS, Azure, Google Cloud Platform) ainsi que sur l’ensemble des fournisseurs de services de traitement de donnees opérant sur le marche europeen.

4. Acces du secteur public aux donnees (Chapitre V)

Le Data Act prevoit un mecanisme permettant aux organismes du secteur public d’acceder aux donnees detenues par des entreprises dans des circonstances specifiques :

• En cas de necessite exceptionnelle liee a une urgence publique (pandemie, catastrophe naturelle, catastrophe d’origine humaine).
• Pour repondre a une urgence publique deja declaree.
• Pour l’accomplissement d’une mission d’interet general prevue par le droit de l’Union ou le droit national, lorsque les donnees ne peuvent etre obtenues autrement dans des conditions equivalentes.

Cet acces est gratuit lorsqu’il repond a une urgence publique. En dehors de ces cas, une compensation raisonnable peut etre prevue.

5. Interoperabilite et normes (Chapitre VIII)

Le Data Act fixe des exigences essentielles en matiere d’interoperabilite pour les espaces de donnees europeens et pour les operateurs de services de traitement de donnees. Le reglement prevoit :

• Des exigences d’interoperabilite pour les espaces de donnees, couvrant notamment les formats de donnees, les interfaces de programmation (API) et les protocoles de communication.
• Des normes harmonisees que la Commission pourra adopter par voie d’actes delegues.
• Des exigences specifiques pour les contrats intelligents (smart contracts) utilises dans le cadre de l’execution automatisee d’accords de partage de donnees.

6. Protection des secrets d’affaires et des donnees non personnelles (Chapitre III)

Le reglement prevoit des mecanismes de protection des secrets d’affaires dans le contexte du partage de donnees. Le detenteur de donnees peut appliquer des mesures techniques et organisationnelles proportionnees pour preserver la confidentialite des secrets d’affaires, y compris des accords de confidentialite et des protocoles d’acces restreint.

Calendrier d’application

Le Data Act suit un calendrier echelonne :

Date	Evenement
13 decembre 2023	Publication au Journal officiel de l’UE
11 janvier 2024	Entree en vigueur
12 septembre 2025	Application generale du reglement
12 janvier 2027	Suppression des frais de changement de fournisseur cloud
12 septembre 2027	Application des exigences relatives aux contrats intelligents

Il est essentiel pour les entreprises de noter que la date du 12 septembre 2025 est la date pivot a partir de laquelle la majorite des obligations deviennent contraignantes.

Relation entre le Data Act et le RGPD

La question de l’articulation entre le Data Act et le RGPD est fondamentale. Le Data Act traite de l’ensemble des donnees generees par les produits connectes, qu’il s’agisse de donnees personnelles ou non personnelles. Lorsque les donnees concernees sont des donnees a caractere personnel, le RGPD prevaut.

L’article 1(5) du Data Act est explicite : le reglement ne porte pas atteinte au RGPD ni a la directive ePrivacy. Concretement, cela signifie que :

• L’acces aux donnees personnelles via le Data Act doit respecter les principes du RGPD (base legale, minimisation, limitation de la conservation, etc.).
• Les droits des personnes concernees au titre du RGPD ne sont ni diminues ni modifies par le Data Act.
• La notion d’utilisateur au sens du Data Act ne se confond pas avec celle de personne concernee au sens du RGPD.

Les entreprises devront donc mettre en oeuvre une double conformite, integrant simultanement les exigences du RGPD et celles du Data Act. Cette articulation constitue un defi operationnel significatif qui necessite une approche juridique et technique coordonnee.

Sanctions

Le Data Act confie aux Etats membres le soin de definir les sanctions applicables en cas de violation du reglement. Neanmoins, le texte impose que ces sanctions soient effectives, proportionnees et dissuasives.

Bien que le reglement ne fixe pas de plafonds d’amendes harmonises a l’echelle europeenne (contrairement au RGPD avec ses 4 % du chiffre d’affaires mondial), les autorites nationales designees disposeront de pouvoirs d’enquete et de sanction significatifs. Chaque Etat membre doit designer une ou plusieurs autorites competentes chargees de l’application du reglement.

Il convient de noter que les violations du Data Act impliquant des donnees personnelles pourront egalement faire l’objet de sanctions au titre du RGPD, creant ainsi un risque de cumul des sanctions.

Champ d’application territorial et personnel

Le Data Act s’applique a un large eventail d’acteurs economiques, des lors qu’ils operent sur le marche interieur europeen :

• Les fabricants de produits connectes mis sur le marche de l’Union, quel que soit le lieu d’etablissement du fabricant.
• Les fournisseurs de services connexes, c’est-a-dire les services numeriques lies a un produit connecte et necessaires a son fonctionnement ou a l’exploitation de ses donnees.
• Les fournisseurs de services de traitement de donnees (cloud IaaS, PaaS, SaaS) proposant leurs services a des clients etablis dans l’Union.
• Les utilisateurs de produits connectes etablis dans l’Union.
• Les destinataires de donnees auxquels les donnees sont mises a disposition.

Cette approche extraterritoriale, similaire a celle du RGPD, signifie qu’un fabricant etabli en Chine ou aux Etats-Unis qui commercialise des produits connectes dans l’Union europeenne sera soumis aux obligations du Data Act. Il devra designer un representant legal dans l’Union si necessaire.

Implications pratiques pour les entreprises

La mise en conformite avec le Data Act requiert une demarche structuree :

1. Cartographie des donnees : identifier l’ensemble des donnees generees par les produits connectes fabriques ou operes par l’entreprise, en distinguant donnees personnelles et non personnelles.
2. Audit des contrats : revoir les contrats de partage de donnees B2B et les conditions generales des services cloud pour identifier les clauses potentiellement non conformes ou abusives au sens de l’article 13.
3. Mise en place des mecanismes d’acces : developper les interfaces techniques (API, tableaux de bord, exports automatises) permettant aux utilisateurs d’acceder a leurs donnees conformement aux articles 3 et 4.
4. Preparation a la portabilite cloud : anticiper les obligations de portabilite et de suppression des frais de transfert, en documentant les formats d’export et les procedures de migration.
5. Revision de la gouvernance des donnees : integrer les exigences du Data Act dans le cadre de gouvernance existant, en articulant ces obligations avec celles du RGPD, du Data Governance Act et des reglementations sectorielles applicables.
6. Formation des equipes : sensibiliser les equipes juridiques, techniques et commerciales aux nouvelles obligations et aux procedures a suivre en cas de demande d’acces ou de partage de donnees.
7. Veille reglementaire : suivre l’adoption des actes delegues et des normes harmonisees qui preciseront les exigences techniques du reglement, notamment en matiere d’interoperabilite et de contrats intelligents.

Conclusion

Le Data Act represente un changement de paradigme dans la gouvernance des donnees en Europe. En imposant l’acces aux donnees des produits connectes, en encadrant le partage B2B, en facilitant la portabilite cloud et en ouvrant l’acces aux donnees pour le secteur public, ce reglement vise a creer un marche europeen des donnees plus equitable, plus concurrentiel et plus dynamique. Les entreprises disposent d’un delai desormais revolu pour se mettre en conformite, l’essentiel des obligations etant applicable depuis le 12 septembre 2025. La complexite du texte et ses interactions avec le RGPD, le Data Governance Act et le Cyber Resilience Act imposent une approche transversale de la conformite, associant competences juridiques, techniques et strategiques.

FAQ

Qu’est-ce que le Data Act impose aux fabricants de produits connectes ?

Le Data Act oblige les fabricants a concevoir leurs produits de maniere a ce que les donnees generees soient accessibles facilement, gratuitement et en temps reel aux utilisateurs. L’utilisateur peut egalement demander le partage de ses donnees avec un tiers de son choix. Cette obligation couvre les donnees brutes comme les metadonnees necessaires a leur interpretation.

Le Data Act remplace-t-il le RGPD ?

Non, le RGPD prevaut lorsque les donnees concernees sont des donnees a caractere personnel. Le Data Act traite de l’ensemble des donnees (personnelles et non personnelles) generees par les produits connectes. Les entreprises doivent assurer une double conformite, en respectant simultanement les exigences des deux textes. Un audit RGPD integrant les obligations du Data Act est recommande.

Quels changements le Data Act impose-t-il aux fournisseurs cloud ?

A compter du 12 janvier 2027, les fournisseurs cloud ne pourront plus facturer de frais de changement de fournisseur. Ils devront egalement respecter un delai de transition maximal de 30 jours, garantir la portabilite des donnees dans des formats ouverts et supprimer tout obstacle technique artificiel au changement de fournisseur.

Le Data Act s’applique-t-il aux entreprises hors de l’UE ?

Oui, le Data Act a une portee extraterritoriale similaire au RGPD. Un fabricant etabli en Chine ou aux Etats-Unis qui commercialise des produits connectes dans l’Union europeenne est soumis aux obligations du reglement. Il devra designer un representant legal dans l’Union si necessaire.

Quelles sont les sanctions prevues par le Data Act ?

Le Data Act impose que les sanctions soient effectives, proportionnees et dissuasives, mais laisse aux Etats membres le soin de definir les montants. Les violations impliquant des donnees personnelles peuvent egalement faire l’objet de sanctions au titre du RGPD, creant un risque de cumul des sanctions.