Data Act et RGPD : checklist de double conformité

L’entrée en application du Data Act (règlement (UE) 2023/2854) crée pour les entreprises une obligation de double conformité avec le RGPD. Notre plan d’action pour préparer votre organisation au Data Act détaille les étapes de mise en conformité générale. Ces deux règlements européens s’appliquent de manière cumulative lorsque les données en cause sont des données à caractère personnel. L’article 1er, paragraphe 5, du Data Act établit clairement que ce dernier ne porte pas atteinte au RGPD et qu’en cas de conflit, le RGPD prévaut. Cette articulation impose aux organisations de coordonner leurs démarches de conformité. La présente checklist fournit un cadre méthodologique pour y parvenir.

L’articulation entre Data Act et RGPD

Deux règlements complémentaires, pas contradictoires

Le Data Act et le RGPD poursuivent des objectifs distincts mais complémentaires. Le RGPD protégé les personnes physiques à l’égard du traitement de leurs données personnelles. Le Data Act vise a favoriser l’accès équitable aux données et leur partagé dans l’économie numérique. Lorsqu’un produit connecté génère des données qui constituent simultanément des données personnelles, les deux cadres s’appliquent.

Les points de tension identifiés

Les différences entre Data Act et RGPD créent des points de tension que les organisations doivent anticiper :

• Le Data Act impose la mise à disposition des données ; le RGPD impose la minimisation et la limitation des finalités.
• Le Data Act autorise le transfert à des tiers ; le RGPD requiert une base légale pour chaque transmission de données personnelles.
• Le Data Act exige un accès continu et en temps réel ; le RGPD impose la limitation de la durée de conservation.
• Le Data Act crée des obligations pour le “détenteur des données” ; le RGPD distingué le responsable de traitement et le sous-traitant.

Checklist de conformité Data Act

1. Obligations de transparence préalables

Avant la mise sur le marché du produit connecté :

• [ ] Identifier et documenter l’ensemble des données générées par chaque produit connecté et chaque service connexe.
• [ ] Classer les données en catégories : données personnelles, données non personnelles, données mixtes, données couvertes par un secret d’affaires.
• [ ] Rédiger l’information préalable a destination de l’utilisateur (article 3, paragraphe 2), comprenant : la nature et le volume des données générées, les modalités d’accès, les coordonnées du détenteur des données, les conditions de partagé avec des tiers.
• [ ] Intégrer cette information dans les conditions contractuelles et dans la notice du produit.

2. Conception accessible (design for access)

• [ ] Vérifier que le produit connecté est conçu pour permettre l’accès facile, gratuit et, le cas échéant, continu et en temps réel aux données générées (article 3, paragraphe 1).
• [ ] Déployer les interfaces techniques nécessaires (API ou mécanismes equivalents) pour permettre l’accès direct et le transfert à des tiers.
• [ ] Documenter l’architecture technique d’accès aux données.

3. Traitement des demandes d’accès et de partagé

• [ ] Mettre en place une procédure interne de traitement des demandes d’accès (article 4) et de partagé avec des tiers (article 5).
• [ ] Définir les délais de réponse (l’accès doit être fourni “sans retard injustifié”).
• [ ] Définir les modalités de la compensation raisonnable exigible des tiers (article 9).
• [ ] Mettre en place un mécanisme de resolution des litiges (article 10).

4. Protection des secrets d’affaires

• [ ] Identifier les données relevant du secret d’affaires et documenter cette qualification.
• [ ] Définir les mesures techniques et organisationnelles proportionnées pour protéger les secrets d’affaires lors de la mise à disposition (article 4, paragraphe 6).
• [ ] S’assurer que les mesures de protection ne constituent pas un obstacle disproportionné à l’accès.

5. Conformité des clauses contractuelles

• [ ] Auditer les contrats existants relatifs à l’accès aux données au regard du test d’équité de l’article 13 et de la liste des clauses présumées abusives.
• [ ] Supprimer ou modifier les clauses non conformes.
• [ ] Envisager l’utilisation des clauses contractuelles types recommandées par la Commission européenne.

Checklist de conformité RGPD applicable aux données des produits connectés

6. Qualification des rôles

• [ ] Déterminer le rôle RGPD du détenteur des données pour chaque traitement : responsable de traitement, responsable conjoint ou sous-traitant.
• [ ] Formaliser les relations entre co-responsables (article 26 du RGPD) ou sous-traitants (article 28 du RGPD) par des accords contractuels conformes.
• [ ] Qualifier le rôle du tiers destinataire des données.

7. Base légale du traitement

• [ ] Identifier une base légale validé au titre de l’article 6 du RGPD pour chaque traitement de données personnelles lie au Data Act :
  • La mise à disposition à l’utilisateur : obligation légale (article 6.1.c) decoulant du Data Act.
  • Le partagé avec un tiers à la demande de l’utilisateur : obligation légale ou consentement selon les cas.
  • L’utilisation par le détenteur à ses propres fins : intérêt légitime (article 6.1.f) ou exécution du contrat (article 6.1.b).
• [ ] Documenter l’analyse de la base légale retenue pour chaque traitement.

8. Principe de minimisation et limitation des finalités

• [ ] S’assurer que la mise à disposition des données personnelles respecte le principe de minimisation : ne transmettre que les données strictement nécessaires à la finalité déclarée.
• [ ] Définir et communiquer les finalités autorisées pour chaque catégorie de données personnelles transmises.
• [ ] Mettre en oeuvre des mécanismes techniques de filtrage pour exclure les données personnelles non nécessaires lors des transmissions à des tiers.

9. Information des personnes concernées

• [ ] Completer les mentions d’information RGPD (articles 13 et 14) pour couvrir les traitements lies au Data Act.
• [ ] Informer les personnes concernées de l’existence du droit d’accès Data Act et de la possibilité de partagé avec des tiers.
• [ ] Informer les personnes concernées des catégories de destinataires potentiels.

10. Droits des personnes concernées

• [ ] Vérifier que les procédures d’exercice des droits RGPD (accès, rectification, effacement, opposition, portabilité) sont compatibles avec les obligations du Data Act.
• [ ] Anticiper les conflits potentiels : une demande d’effacement au titre du RGPD pourrait entrer en tension avec une obligation de mise à disposition au titre du Data Act.
• [ ] Définir une procédure d’arbitrage interne pour les cas de conflit, en appliquant le principe de primaute du RGPD.

11. Analyse d’impact (AIPD)

• [ ] Évaluer si les traitements lies au Data Act nécessitent une analyse d’impact relative à la protection des données (article 35 du RGPD).
• [ ] Criteres déclencheurs : traitement à grande échelle de données personnelles, croisement de données, profilage, surveillance systématique.
• [ ] Réaliser l’AIPD le cas échéant et mettre en oeuvre les mesures d’attenuation identifiées.

12. Sécurité des traitements

• [ ] Mettre en oeuvre des mesures de sécurité appropriées au sens de l’article 32 du RGPD pour les systèmes de mise à disposition des données.
• [ ] Chiffrer les données en transit et au repos.
• [ ] Mettre en place des mécanismes d’authentification et de contrôle d’accès robustes.
• [ ] Journaliser les accès et les transmissions de données.
• [ ] Intégrer les interfaces d’accès aux données dans le périmètre des audits de sécurité réguliers.

Checklist de double conformité : points de coordination

13. Gouvernance croisée

• [ ] Désigner un référent interne charge de coordonner la conformité Data Act et RGPD.
• [ ] Intégrer le DPO dans le processus de mise en conformité Data Act.
• [ ] Mettre à jour le registre des traitements (article 30 du RGPD) pour inclure les traitements lies au Data Act.
• [ ] Mettre à jour la documentation de conformité (politiques, procédures, contrats).

14. Gestion des données mixtes

• [ ] Mettre en place une procédure de séparation des données personnelles et non personnelles lorsque cela est techniquement possible.
• [ ] Lorsque la séparation est impossible, appliquer le régime le plus protecteur (RGPD) à l’ensemble du jeu de données.
• [ ] Documenter les raisons de l’impossibilité de séparation le cas échéant.

15. Transferts internationaux

• [ ] Vérifier que les transferts de données vers des tiers établis hors de l’UE respectent à la fois les restrictions du Data Act (article 32) et les exigences du chapitre V du RGPD.
• [ ] Mettre en place les garanties appropriées (décisions d’adéquation, clauses contractuelles types, règles d’entreprise contraignantes).
• [ ] Évaluer les demandes d’accès de gouvernements de pays tiers au regard des garanties du Data Act.

16. Notification des incidents

• [ ] Définir une procédure unifiée de notification des incidents affectant les données, couvrant à la fois les obligations RGPD (notification à la CNIL sous 72 heures) et les obligations éventuelles liées au Data Act.
• [ ] Former les équipes à l’identification et à l’escalade des incidents affectant les systèmes de mise à disposition des données.

Calendrier de mise en oeuvre

Le calendrier du Data Act impose une mise en conformité échelonnée :

• Depuis le 12 septembre 2025 : obligations applicables aux nouveaux produits connectés mis sur le marché.
• 12 septembre 2026 : obligations applicables aux produits connectés déjà sur le marché avant septembre 2025.
• 12 septembre 2027 : obligations de portabilité cloud et changement de fournisseur cloud.

Les actions de mise en conformité RGPD liées au Data Act doivent être déployées simultanément aux actions Data Act, en commencant par les produits les plus exposés (volumes de données personnelles élevés, base d’utilisateurs large, partagé fréquents avec des tiers).

FAQ

Le Data Act peut-il obliger une entreprise a transmettre des données personnelles en violation du RGPD ?

Non. L’article 1er, paragraphe 5, du Data Act dispose expressément que le règlement ne porte pas atteinte au RGPD. En cas de conflit, le RGPD prévaut. Si la mise à disposition de données au titre du Data Act implique un traitement de données personnelles, ce traitement doit reposer sur une base légale validé, respecter le principe de minimisation et garantir les droits des personnes concernées. L’obligation de mise à disposition du Data Act ne constitue pas, a elle seule, une base légale au titre du RGPD.

Faut-il réaliser une analyse d’impact (AIPD) pour les traitements lies au Data Act ?

Une AIPD est requise lorsque le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques. La mise à disposition systématique de données de produits connectés, lorsqu’elle implique des données personnelles à grande échelle, des croisements de données ou une surveillance d’habitudes, est susceptible de remplir ces critères. L’évaluation doit être menée au cas par cas selon les critères de l’article 35 du RGPD et les lignes directrices du CEPD.

Comment gérer les demandes contradictoires entre droit à l’effacement RGPD et obligation de mise à disposition Data Act ?

Le RGPD prévaut. Lorsqu’une personne concernée exercé son droit à l’effacement (article 17 du RGPD), le responsable de traitement doit y donner suite sauf exception prévue par le RGPD. L’obligation de mise à disposition du Data Act ne figure pas parmi les exceptions à l’effacement listees à l’article 17, paragraphe 3, du RGPD. En conséquence, les données personnelles effacées ne peuvent plus être mises à disposition au titre du Data Act. Cette situation doit être documentée et communiquée à l’utilisateur et aux tiers concernés.