Data Act et RGPD : checklist de double conformite

L’entree en application du Data Act (reglement (UE) 2023/2854) cree pour les entreprises une obligation de double conformite avec le RGPD. Ces deux reglements europeens s’appliquent de maniere cumulative lorsque les donnees en cause sont des donnees a caractere personnel. L’article 1er, paragraphe 5, du Data Act etablit clairement que ce dernier ne porte pas atteinte au RGPD et qu’en cas de conflit, le RGPD prevaut. Cette articulation impose aux organisations de coordonner leurs demarches de conformite. La presente checklist fournit un cadre methodologique pour y parvenir.

L’articulation entre Data Act et RGPD

Deux reglements complementaires, pas contradictoires

Le Data Act et le RGPD poursuivent des objectifs distincts mais complementaires. Le RGPD protege les personnes physiques a l’egard du traitement de leurs donnees personnelles. Le Data Act vise a favoriser l’acces equitable aux donnees et leur partage dans l’economie numerique. Lorsqu’un produit connecte genere des donnees qui constituent simultanement des donnees personnelles, les deux cadres s’appliquent.

Les points de tension identifies

Les differences entre Data Act et RGPD creent des points de tension que les organisations doivent anticiper :

• Le Data Act impose la mise a disposition des donnees ; le RGPD impose la minimisation et la limitation des finalites.
• Le Data Act autorise le transfert a des tiers ; le RGPD requiert une base legale pour chaque transmission de donnees personnelles.
• Le Data Act exige un acces continu et en temps reel ; le RGPD impose la limitation de la duree de conservation.
• Le Data Act cree des obligations pour le “detenteur des donnees” ; le RGPD distingue le responsable de traitement et le sous-traitant.

Checklist de conformite Data Act

1. Obligations de transparence prealables

Avant la mise sur le marche du produit connecte :

• [ ] Identifier et documenter l’ensemble des donnees generees par chaque produit connecte et chaque service connexe.
• [ ] Classer les donnees en categories : donnees personnelles, donnees non personnelles, donnees mixtes, donnees couvertes par un secret d’affaires.
• [ ] Rediger l’information prealable a destination de l’utilisateur (article 3, paragraphe 2), comprenant : la nature et le volume des donnees generees, les modalites d’acces, les coordonnees du detenteur des donnees, les conditions de partage avec des tiers.
• [ ] Integrer cette information dans les conditions contractuelles et dans la notice du produit.

2. Conception accessible (design for access)

• [ ] Verifier que le produit connecte est concu pour permettre l’acces facile, gratuit et, le cas echeant, continu et en temps reel aux donnees generees (article 3, paragraphe 1).
• [ ] Deployer les interfaces techniques necessaires (API ou mecanismes equivalents) pour permettre l’acces direct et le transfert a des tiers.
• [ ] Documenter l’architecture technique d’acces aux donnees.

3. Traitement des demandes d’acces et de partage

• [ ] Mettre en place une procedure interne de traitement des demandes d’acces (article 4) et de partage avec des tiers (article 5).
• [ ] Definir les delais de reponse (l’acces doit etre fourni “sans retard injustifie”).
• [ ] Definir les modalites de la compensation raisonnable exigible des tiers (article 9).
• [ ] Mettre en place un mecanisme de resolution des litiges (article 10).

4. Protection des secrets d’affaires

• [ ] Identifier les donnees relevant du secret d’affaires et documenter cette qualification.
• [ ] Definir les mesures techniques et organisationnelles proportionnees pour proteger les secrets d’affaires lors de la mise a disposition (article 4, paragraphe 6).
• [ ] S’assurer que les mesures de protection ne constituent pas un obstacle disproportionne a l’acces.

5. Conformite des clauses contractuelles

• [ ] Auditer les contrats existants relatifs a l’acces aux donnees au regard du test d’equite de l’article 13 et de la liste des clauses presumees abusives.
• [ ] Supprimer ou modifier les clauses non conformes.
• [ ] Envisager l’utilisation des clauses contractuelles types recommandees par la Commission europeenne.

Checklist de conformite RGPD applicable aux donnees des produits connectes

6. Qualification des roles

• [ ] Determiner le role RGPD du detenteur des donnees pour chaque traitement : responsable de traitement, responsable conjoint ou sous-traitant.
• [ ] Formaliser les relations entre co-responsables (article 26 du RGPD) ou sous-traitants (article 28 du RGPD) par des accords contractuels conformes.
• [ ] Qualifier le role du tiers destinataire des donnees.

7. Base legale du traitement

• [ ] Identifier une base legale valide au titre de l’article 6 du RGPD pour chaque traitement de donnees personnelles lie au Data Act :
  • La mise a disposition a l’utilisateur : obligation legale (article 6.1.c) decoulant du Data Act.
  • Le partage avec un tiers a la demande de l’utilisateur : obligation legale ou consentement selon les cas.
  • L’utilisation par le detenteur a ses propres fins : interet legitime (article 6.1.f) ou execution du contrat (article 6.1.b).
• [ ] Documenter l’analyse de la base legale retenue pour chaque traitement.

8. Principe de minimisation et limitation des finalites

• [ ] S’assurer que la mise a disposition des donnees personnelles respecte le principe de minimisation : ne transmettre que les donnees strictement necessaires a la finalite declaree.
• [ ] Definir et communiquer les finalites autorisees pour chaque categorie de donnees personnelles transmises.
• [ ] Mettre en oeuvre des mecanismes techniques de filtrage pour exclure les donnees personnelles non necessaires lors des transmissions a des tiers.

9. Information des personnes concernees

• [ ] Completer les mentions d’information RGPD (articles 13 et 14) pour couvrir les traitements lies au Data Act.
• [ ] Informer les personnes concernees de l’existence du droit d’acces Data Act et de la possibilite de partage avec des tiers.
• [ ] Informer les personnes concernees des categories de destinataires potentiels.

10. Droits des personnes concernees

• [ ] Verifier que les procedures d’exercice des droits RGPD (acces, rectification, effacement, opposition, portabilite) sont compatibles avec les obligations du Data Act.
• [ ] Anticiper les conflits potentiels : une demande d’effacement au titre du RGPD pourrait entrer en tension avec une obligation de mise a disposition au titre du Data Act.
• [ ] Definir une procedure d’arbitrage interne pour les cas de conflit, en appliquant le principe de primaute du RGPD.

11. Analyse d’impact (AIPD)

• [ ] Evaluer si les traitements lies au Data Act necessitent une analyse d’impact relative a la protection des donnees (article 35 du RGPD).
• [ ] Criteres declencheurs : traitement a grande echelle de donnees personnelles, croisement de donnees, profilage, surveillance systematique.
• [ ] Realiser l’AIPD le cas echeant et mettre en oeuvre les mesures d’attenuation identifiees.

12. Securite des traitements

• [ ] Mettre en oeuvre des mesures de securite appropriees au sens de l’article 32 du RGPD pour les systemes de mise a disposition des donnees.
• [ ] Chiffrer les donnees en transit et au repos.
• [ ] Mettre en place des mecanismes d’authentification et de controle d’acces robustes.
• [ ] Journaliser les acces et les transmissions de donnees.
• [ ] Integrer les interfaces d’acces aux donnees dans le perimetre des audits de securite reguliers.

Checklist de double conformite : points de coordination

13. Gouvernance croisee

• [ ] Designer un referent interne charge de coordonner la conformite Data Act et RGPD.
• [ ] Integrer le DPO dans le processus de mise en conformite Data Act.
• [ ] Mettre a jour le registre des traitements (article 30 du RGPD) pour inclure les traitements lies au Data Act.
• [ ] Mettre a jour la documentation de conformite (politiques, procedures, contrats).

14. Gestion des donnees mixtes

• [ ] Mettre en place une procedure de separation des donnees personnelles et non personnelles lorsque cela est techniquement possible.
• [ ] Lorsque la separation est impossible, appliquer le regime le plus protecteur (RGPD) a l’ensemble du jeu de donnees.
• [ ] Documenter les raisons de l’impossibilite de separation le cas echeant.

15. Transferts internationaux

• [ ] Verifier que les transferts de donnees vers des tiers etablis hors de l’UE respectent a la fois les restrictions du Data Act (article 32) et les exigences du chapitre V du RGPD.
• [ ] Mettre en place les garanties appropriees (decisions d’adequation, clauses contractuelles types, regles d’entreprise contraignantes).
• [ ] Evaluer les demandes d’acces de gouvernements de pays tiers au regard des garanties du Data Act.

16. Notification des incidents

• [ ] Definir une procedure unifiee de notification des incidents affectant les donnees, couvrant a la fois les obligations RGPD (notification a la CNIL sous 72 heures) et les obligations eventuelles liees au Data Act.
• [ ] Former les equipes a l’identification et a l’escalade des incidents affectant les systemes de mise a disposition des donnees.

Calendrier de mise en oeuvre

Le calendrier du Data Act impose une mise en conformite echelonnee :

• Depuis le 12 septembre 2025 : obligations applicables aux nouveaux produits connectes mis sur le marche.
• 12 septembre 2026 : obligations applicables aux produits connectes deja sur le marche avant septembre 2025.
• 12 septembre 2027 : obligations de portabilite cloud et changement de fournisseur cloud.

Les actions de conformite RGPD liees au Data Act doivent etre deployees simultanement aux actions Data Act, en commencant par les produits les plus exposes (volumes de donnees personnelles eleves, base d’utilisateurs large, partage frequents avec des tiers).

FAQ

Le Data Act peut-il obliger une entreprise a transmettre des donnees personnelles en violation du RGPD ?

Non. L’article 1er, paragraphe 5, du Data Act dispose expressement que le reglement ne porte pas atteinte au RGPD. En cas de conflit, le RGPD prevaut. Si la mise a disposition de donnees au titre du Data Act implique un traitement de donnees personnelles, ce traitement doit reposer sur une base legale valide, respecter le principe de minimisation et garantir les droits des personnes concernees. L’obligation de mise a disposition du Data Act ne constitue pas, a elle seule, une base legale au titre du RGPD.

Faut-il realiser une analyse d’impact (AIPD) pour les traitements lies au Data Act ?

Une AIPD est requise lorsque le traitement est susceptible d’engendrer un risque eleve pour les droits et libertes des personnes physiques. La mise a disposition systematique de donnees de produits connectes, lorsqu’elle implique des donnees personnelles a grande echelle, des croisements de donnees ou une surveillance d’habitudes, est susceptible de remplir ces criteres. L’evaluation doit etre menee au cas par cas selon les criteres de l’article 35 du RGPD et les lignes directrices du CEPD.

Comment gerer les demandes contradictoires entre droit a l’effacement RGPD et obligation de mise a disposition Data Act ?

Le RGPD prevaut. Lorsqu’une personne concernee exerce son droit a l’effacement (article 17 du RGPD), le responsable de traitement doit y donner suite sauf exception prevue par le RGPD. L’obligation de mise a disposition du Data Act ne figure pas parmi les exceptions a l’effacement listees a l’article 17, paragraphe 3, du RGPD. En consequence, les donnees personnelles effacees ne peuvent plus etre mises a disposition au titre du Data Act. Cette situation doit etre documentee et communiquee a l’utilisateur et aux tiers concernes.