Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Vendredi 17 avril 2026
Accueil/Data Act/Data Act vs RGPD : différences, interactions et hiérarchie
Data Act

Data Act vs RGPD : différences, interactions et hiérarchie

Le Data Act et le RGPD coexistent mais ne couvrent pas les mêmes données. Interactions et double conformité.

Par Thiébaut DevergrannePublie le 26 fevrier 2026Mis a jour le 26 fevrier 20269 min de lecture
Sommaire
  1. Deux règlements, deux philosophies
  2. Les différences structurelles
  3. La question des données mixtes
  4. La hiérarchie : le RGPD prévaut
  5. Implications pratiques : la double conformité
  6. Checklist de double conformité Data Act / RGPD
  7. Conclusion

L’entrée en application du Data Act le 12 septembre 2025 a ajouté une nouvelle couche de réglementation au paysage déjà dense du droit européen des données. Pour les praticiens comme pour les entreprises, la question de l’articulation entre le Data Act et le RGPD est devenue un sujet de conformité incontournable. Ces deux textes coexistent, mais ne poursuivent pas les mêmes objectifs, ne couvrent pas le même périmètre et n’obeissent pas à la même logique. Leur interaction mérite un examen attentif.

Deux règlements, deux philosophies

Le RGPD : protéger les personnes

Le règlement général sur la protection des données (règlement (UE) 2016/679) a pour objet la protection des personnes physiques à l’égard du traitement de leurs données à caractère personnel. Son champ d’application est déterminé par la nature de la donnée : dès lors qu’une information se rapporté à une personne physique identifiée ou identifiable, le RGPD s’applique.

Le RGPD repose sur des principes fondamentaux : licite, loyauté et transparence du traitement, limitation des finalités, minimisation des données, exactitude, limitation de la conservation, intégrité et confidentialité, responsabilité (accountability). Il confère aux personnes concernées des droits subjectifs (accès, rectification, effacement, portabilité, opposition) et impose aux responsables de traitement des obligations structurantes (analyse d’impact, registre des traitements, désignation d’un DPO dans certains cas).

Le Data Act : fluidifier l’accès aux données

Le Data Act (règlement (UE) 2023/2854) poursuit un objectif fondamentalement différent. Il visé a favoriser l’accès équitable aux données et leur utilisation dans l’économie numérique. Son champ d’application est déterminé non pas par la nature de la donnée, mais par son origine : les données générées par l’utilisation de produits connectés et de services connexes.

Le Data Act s’applique a toutes les données générées par les objets connectés, qu’elles soient personnelles ou non personnelles. Son objectif est économique : debloquer la valeur des données industrielles et commerciales, prévenir les abus de position dominante dans le partagé de données et faciliter la mobilite entre fournisseurs de services cloud. La question de la propriété des données des produits connectés illustre bien cette logique : le Data Act substitue un droit d’accès au paradigme classique de la propriété.

Les différences structurelles

Champ d’application matériel

Critere RGPD Data Act
Données couvertes Données à caractère personnel uniquement Toutes données générées par des produits connectés (personnelles et non personnelles)
Critere déclencheur Nature de la donnée (caractère personnel) Origine de la donnée (produit connecté / service connexe)
Secteurs Tous secteurs Principalement IoT, cloud, services numériques

Acteurs concernés

Le RGPD s’articulé autour des notions de responsable de traitement et de sous-traitant, définies par le critère de la détermination des finalités et des moyens du traitement.

Le Data Act introduit des catégories d’acteurs différentes :

  • Le détenteur de données (data holder) : le fabricant du produit connecté ou le fournisseur du service connexe qui dispose des données.
  • L’utilisateur (user) : la personne physique ou morale qui possede, loué ou prend en leasing le produit connecté et qui bénéficie du droit d’accès.
  • Le destinataire des données (data recipient) : le tiers auquel l’utilisateur demande la transmission de ses données.

Ces catégories ne se superposent pas automatiquement aux catégories du RGPD. Un détenteur de données au sens du Data Act peut être simultanément responsable de traitement au sens du RGPD, mais ce n’est pas systématique. Un utilisateur au sens du Data Act peut être une personne morale, ce qui n’est jamais le cas d’une personne concernée au sens du RGPD.

Droits conférés

Les droits conférés par les deux textes différent dans leur fondement et leur portée :

  • Le droit d’accès RGPD (article 15) permet à une personne physique d’obtenir une copié de ses données personnelles. Il est fondé sur la protection de la vie privée.
  • Le droit d’accès Data Act (article 4) permet à un utilisateur (personne physique ou morale) d’accéder aux données générées par un produit connecté. Il est fondé sur la relation d’usage avec le produit.

Le droit de portabilité illustre également cette divergence. La portabilité RGPD (article 20) est limitée aux données fournies par la personne concernée, sur la base du consentement ou de l’exécution d’un contrat, dans un format structuré. La portabilité Data Act est plus large : elle couvre toutes les données générées par le produit, indépendamment de leur caractère personnel.

La question des données mixtes

La difficulté majeure réside dans les situations ou les données générées par un produit connecté sont à la fois des données personnelles et des données relevant du Data Act. C’est le cas, par exemple :

  • Des données de conduite d’un véhicule connecté (vitesse, itineraires, comportement de conduite), qui sont des données personnelles du conducteur et simultanément des données générées par un produit connecté.
  • Des données d’utilisation d’un dispositif médical connecté, qui sont des données de santé au sens du RGPD et des données IoT au sens du Data Act.
  • Des données d’un compteur intelligent, qui révèlent les habitudes de vie des occupants d’un logement.

Pour ces données mixtes, les deux règlements s’appliquent cumulativement. Le Data Act crée un droit d’accès, mais l’exercice de ce droit doit respecter les exigences du RGPD.

La hiérarchie : le RGPD prévaut

L’article 1(5) du Data Act pose un principe de hiérarchie sans ambiguïté : le règlement est “sans préjudice” du RGPD et de la directive ePrivacy. Concrètement, cela signifie que :

  1. Le RGPD prime en cas de conflit. Si une disposition du Data Act conduisait à un résultat contraire au RGPD, c’est le RGPD qui s’applique.

  2. Les bases légales du RGPD restent nécessaires. Le fait qu’un utilisateur exercé son droit d’accès au titre du Data Act ne dispense pas le détenteur de données de disposer d’une base légale au sens de l’article 6 du RGPD pour traiter des données personnelles.

  3. Les droits des personnes concernées sont preserves. L’utilisateur Data Act qui demande le partagé de données personnelles avec un tiers ne peut pas porter atteinte aux droits des personnes concernées dont les données seraient incluses dans le jeu de données transmis.

  4. Les principes du RGPD continuent de s’appliquer. Minimisation, limitation des finalités, limitation de la conservation : ces principes encadrent tout traitement de données personnelles, y compris ceux rendus possibles par le Data Act.

Le considérant 7 du Data Act précise que le règlement ne doit pas être interprète comme créant une nouvelle base juridique pour le traitement de données à caractère personnel. Les détenteurs de données qui rendent accessibles des données personnelles dans le cadre du Data Act doivent donc s’assurer qu’ils disposent d’une base légale appropriée au titre du RGPD.

Implications pratiques : la double conformité

Pour les fabricants de produits connectés

Les fabricants sont tenus, au titre du Data Act, de concevoir leurs produits de manière a permettre l’accès aux données (design for access). Mais ils sont également tenus, au titre du RGPD, de mettre en oeuvre la protection des données des la conception (privacy by design). Ces deux obligations doivent être articulees :

  • Les mécanismes d’accès doivent intégrer des contrôles d’authentification et d’autorisation garantissant que seul l’utilisateur légitime accédé aux données.
  • Lorsque les données contiennent des informations personnelles de tiers (par exemple, les données d’un véhicule partagé), des mécanismes d’anonymisation ou de pseudonymisation peuvent être nécessaires.
  • Les formats de mise à disposition des données doivent être compatibles avec les exigences de portabilité du RGPD.

Pour les fournisseurs de services cloud

Les fournisseurs cloud doivent respecter simultanément les obligations de portabilité du Data Act (chapitre VI) et les exigences du RGPD en matière de transferts de données et de sécurité. La migration de données vers un nouveau fournisseur doit notamment :

  • Garantir la continuité de la protection des données personnelles pendant la phase de transition.
  • Respecter les exigences relatives aux transferts internationaux si le nouveau fournisseur est établi hors de l’EEE.
  • Assurer la suppression effective des données chez l’ancien fournisseur conformément aux politiques de conservation.

Pour les entreprises destinataires de données

Les tiers qui recoivent des données au titre de l’article 5 du Data Act doivent, lorsque ces données incluent des données personnelles, déterminer leur rôle au sens du RGPD (responsable de traitement ou sous-traitant), définir une base légale et mettre en oeuvre les garanties appropriées.

Checklist de double conformité Data Act / RGPD

Pour les organisations soumises aux deux textes, voici les points de contrôle essentiels :

  1. Cartographier les flux de données en distinguant données personnelles, données non personnelles et données mixtes pour chaque produit connecté.

  2. Vérifier les bases légales RGPD pour chaque flux de données personnelles rendu accessible au titre du Data Act.

  3. Mettre à jour les registres de traitement (article 30 RGPD) pour intégrer les nouveaux traitements lies aux obligations du Data Act.

  4. Réaliser des analyses d’impact (AIPD) lorsque le partagé de données au titre du Data Act est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées.

  5. Adapter les informations de transparence (articles 13 et 14 RGPD) pour couvrir les traitements lies au Data Act.

  6. Revoir les contrats avec les tiers destinataires de données pour intégrer les clauses requises par le RGPD (article 28 si sous-traitance, ou responsabilité conjointe le cas échéant).

  7. Mettre en place des mécanismes d’anonymisation ou de séparation des données lorsque les jeux de données contiennent des données personnelles de tiers non directement concernés par la demande d’accès.

  8. Auditer les mesures de sécurité pour s’assurer qu’elles couvrent les risques spécifiques lies aux nouveaux flux de données. Un audit RGPD régulier est indispensable pour vérifier la conformité dans la durée. Des outils tels que Legiscope peuvent faciliter le suivi de cette conformité croisée.

  9. Former les équipes juridiques et techniques aux interactions entre les deux textes.

  10. Documenter la conformité en conservant des traces des mesures prises pour respecter simultanément le Data Act et le RGPD.

Conclusion

Le Data Act et le RGPD ne sont pas des textes concurrents mais complémentaires. Le RGPD protégé les personnes ; le Data Act organise l’économie de la donnée. Leur coexistence impose néanmoins aux entreprises un effort de conformité accru, particulièrement dans le domaine des données mixtes ou les deux règlements s’appliquent cumulativement. La clé réside dans une approche intégrée, ou la gouvernance des données personnelles et la gouvernance des données industrielles sont pensees ensemble, et non en silos. Pour une vue d’ensemble du Data Act, nous renvoyons à notre guide complet.

Articles lies

Data Act

Portabilite cloud : les nouvelles obligations du Data Act

12 mars 2026 · 10 min
Data Act

Data Act et API : obligations de mise a disposition des données

23 fevrier 2026 · 9 min
Data Act

Data Act et sous-traitants cloud : responsabilités

23 fevrier 2026 · 8 min