Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Vendredi 17 avril 2026
Accueil/Data Act/Produits connectés : qui est propriétaire des données généré...
Data Act

Produits connectés : qui est propriétaire des données générées

Le Data Act redéfinit l'accès aux données des objets connectés. Analyse juridique de la propriété des données IoT et des droits des utilisateurs.

Par Thiébaut DevergrannePublie le 20 fevrier 2026Mis a jour le 20 fevrier 20269 min de lecture
Sommaire
  1. L’absence de droit de propriété sur les données en droit européen
  2. Le régime du Data Act : des droits d’accès, pas de propriété
  3. Les implications concrètes par secteur
  4. L’articulation avec la propriété intellectuelle
  5. Les perspectives d’évolution
  6. FAQ

La question de la propriété des données générées par les produits connectés constitue l’un des débats juridiques les plus structurants de l’économie numérique européenne. Qui détient les droits sur les données produites par un véhicule connecté, un équipement industriel intelligent ou un appareil électroménager doté de capteurs ? Le droit européen, et singulièrement le Data Act (règlement (UE) 2023/2854), apporté des réponses nuancees qui s’ecartent délibérément du paradigme classique de la propriété pour lui substituer un régime fondé sur les droits d’accès.

L’absence de droit de propriété sur les données en droit européen

Un paradigme juridique délibérément écarte

Le droit européen ne consacré pas de droit de propriété sur les données au sens du droit des biens. Cette position, constante depuis les travaux préparatoires du Data Act, repose sur des considérations tant juridiques que politiques.

Sur le plan juridique, les données ne présentent pas les caractéristiques classiques des biens susceptibles d’appropriation : elles sont non-rivales (leur utilisation par une personne n’empêche pas leur utilisation par une autre), non-exclusives par nature et reproductibles a coût marginal nul. Le droit de la propriété intellectuelle protégé certaines mises en forme de données (bases de données, oeuvres de l’esprit), mais pas les données brutes elles-mêmes.

Sur le plan politique, la Commission européenne a explicitement rejeté l’instauration d’un nouveau droit de propriété sur les données. La communication de la Commission de février 2020 sur la stratégie européenne pour les données souligné que la création d’un tel droit risquerait de concentrer les données entre les mains des acteurs les plus puissants et de freiner l’innovation fondée sur les données.

Le régime sui generis des bases de données

Avant le Data Act, le principal outil juridique invoqué pour revendiquer des droits sur les données était le droit sui generis des bases de données, issu de la directive 96/9/CE. Ce droit protégé le producteur d’une base de données ayant fait l’objet d’un investissement substantiel contre l’extraction ou la réutilisation non autorisée d’une partie substantielle du contenu.

Le Data Act modifie sensiblement l’articulation de ce régime avec l’accès aux données des produits connectés. L’article 43 du règlement précise que le droit sui generis des bases de données ne s’applique pas aux bases de données contenant des données obtenues ou générées par l’utilisation d’un produit connecté ou d’un service connexe. Cette disposition est capitale : elle neutralise l’argument selon lequel le fabricant pourrait opposer son droit de producteur de base de données pour refuser l’accès aux données IoT.

Le régime du Data Act : des droits d’accès, pas de propriété

Les droits de l’utilisateur

Le Data Act ne confère pas de droit de propriété à l’utilisateur. Il lui reconnaît en revanche un droit d’accès aux données générées par l’utilisation du produit connecté, qui s’apparente fonctionnellement à un droit d’usage étendu.

Ce droit d’accès, consacré par l’article 4 du règlement, présente plusieurs caractéristiques :

  • Il est gratuit : le détenteur des données ne peut exiger aucune rémunération de l’utilisateur pour la fourniture des données.
  • Il est continu : l’utilisateur peut accéder aux données de manière permanente, en temps réel si la nature des données le permet.
  • Il est direct ou sur demande : selon l’architecture du produit, l’accès peut être intègre au produit lui-même ou passer par une demande formelle.
  • Il est transferable : l’utilisateur peut demander que ses données soient transmises à un tiers de son choix (article 5).

Les droits et obligations du détenteur des données

Le détenteur des données – généralement le fabricant du produit connecté ou le fournisseur du service connexe – conservé des prérogatives significatives sur les données, sans pour autant en être propriétaire.

Il peut notamment :

  • Utiliser les données non personnelles générées par le produit dans le cadre de l’accord contractuel avec l’utilisateur.
  • Protéger ses secrets d’affaires en limitant, de manière proportionnée, la granularité des données fournies.
  • Exiger une compensation raisonnable des tiers auxquels les données sont transmises à la demande de l’utilisateur.

Il doit en contrepartie :

  • Concevoir ses produits pour permettre l’accès aux données des leur mise sur le marché.
  • Informer l’utilisateur, avant l’achat, de la nature et du volume des données générées par le produit.
  • Ne pas utiliser les données pour concurrencer directement l’utilisateur sur un marché dérive.

Les restrictions imposées aux tiers

Les tiers destinataires des données ne disposent pas non plus d’un droit de propriété. Leur accès est conditionnel et encadré :

  • Ils ne peuvent utiliser les données que pour la finalité convenue avec l’utilisateur.
  • Ils ne peuvent les mettre à disposition d’un autre tiers sans l’accord de l’utilisateur.
  • Ils ne peuvent les utiliser pour développer un produit en concurrence avec le produit dont elles sont issues.
  • Ils ne peuvent les utiliser pour du profilage au sens du RGPD sauf fondement juridique indépendant.

Les implications concrètes par secteur

Véhicules connectés

Le secteur automobile illustre parfaitement les enjeux de la question. Un véhicule moderne génère en moyenne 25 gigaoctets de données par heure. Ces données – télémétrie moteur, habitudes de conduite, localisation, diagnostic – interessent à la fois le constructeur, le conducteur, les assureurs, les réparateurs indépendants et les gestionnaires de flottes.

Sous le régime du Data Act, le conducteur (ou le propriétaire du véhicule) à un droit d’accès à l’ensemble de ces données. Il peut exiger qu’elles soient transmises au réparateur indépendant de son choix, brisant ainsi le monopole des réseaux constructeurs sur les données de diagnostic. Les recommandations de l’EDPB sur les véhicules connectés rappellent que nombre de ces données constituent également des données personnelles soumises au RGPD.

Équipements industriels

Dans l’industrie, les machines équipées de capteurs IoT generent des données de production, de performance et de maintenance predictive. L’utilisateur – typiquement l’exploitant industriel – peut accéder à ces données et les transmettre à un prestataire de maintenance tiers, mettant fin à la dépendance exclusive envers le fabricant de la machine.

Cette évolution modifie profondément les modèles économiques fondés sur le verrouillage des données et contraint les fabricants a repenser leur proposition de valeur autour du service plutôt que du contrôle des données.

Domotique et électroménager

Les appareils domotiques – thermostats intelligents, enceintes connectées, appareils électroménagers – generent des données d’usage qui révèlent les habitudes de vie des occupants du foyer. La question est ici doublement sensible car ces données sont presque systématiquement des données personnelles au sens du RGPD.

L’utilisateur peut accéder à ses données de consommation énergétique, par exemple, et les transmettre à un fournisseur d’énergie alternatif pour obtenir une offre tarifaire optimisée. Le fabricant de l’appareil ne peut s’y opposer, sous réserve du respect des obligations de sécurité et de protection des données personnelles.

L’articulation avec la propriété intellectuelle

Les secrets d’affaires

Le Data Act prévoit un régime d’équilibre entre l’accès aux données et la protection des secrets d’affaires du détenteur. L’article 4, paragraphe 6, autorise le détenteur a prendre des mesures techniques et organisationnelles pour préserver la confidentialité de ses secrets d’affaires, notamment en anonymisant certains paramètres ou en limitant le niveau de détail des données fournies.

Toutefois, le détenteur ne peut invoquer le secret d’affaires pour refuser en bloc l’accès aux données. Il doit démontrer, pour chaque donnée ou catégorie de données, que sa divulgation porterait effectivement atteinte à un secret d’affaires et que les mesures de restriction adoptées sont proportionnées.

Les brevets et le droit d’auteur

Les droits de propriété intellectuelle classiques – brevets, droit d’auteur – ne confèrent pas non plus de droit de propriété sur les données brutes générées par un produit connecté. Un brevet protégé une invention technique, non les données produites par l’exploitation de cette invention. Le droit d’auteur protégé une expression originale, non les faits ou les informations brutes.

Les perspectives d’évolution

La question de la propriété des données n’est pas définitivement tranchée. Le Data Act pose un cadre fondé sur les droits d’accès qui pourrait évoluer à mesure que la pratique révèle ses limités. Le calendrier d’application du Data Act prévoit un réexamen du règlement par la Commission européenne au plus tard le 12 septembre 2028, qui pourrait conduire à des ajustements du régime.

Par ailleurs, certains États membres pourraient être tentes d’introduire dans leur droit national des mécanismes s’apparentant à un droit de propriété sectoriel sur certaines catégories de données, dans les limités du cadre européen. La Cour de justice de l’Union européenne sera inévitablement saisie de questions préjudicielles relatives à l’interprétation des droits d’accès consacrés par le Data Act.

FAQ

Un fabricant peut-il revendiquer la propriété des données générées par ses produits connectés ?

Non. Le droit européen ne reconnaît pas de droit de propriété sur les données brutes. Le Data Act écarte expressément le droit sui generis des bases de données pour les données issues de produits connectés (article 43). Le fabricant conserve des droits d’utilisation contractuels et peut protéger ses secrets d’affaires, mais il ne peut se prévaloir d’un droit de propriété pour refuser l’accès aux données de l’utilisateur.

L’utilisateur est-il propriétaire des données générées par le produit connecté qu’il a acheté ?

L’utilisateur n’est pas propriétaire des données au sens juridique. Le Data Act lui confère un droit d’accès gratuit, continu et transferable aux données générées par l’utilisation du produit. Ce droit s’apparente fonctionnellement à un droit d’usage étendu qui lui permet d’accéder aux données, de les utiliser librement et de les faire transmettre à un tiers de son choix.

Comment le Data Act s’articulé-t-il avec le RGPD concernant les données des produits connectés ?

Le RGPD et le Data Act s’appliquent de manière cumulative. Lorsque les données générées par un produit connecté constituent des données personnelles, le RGPD prévaut en cas de conflit (article 1er, paragraphe 5, du Data Act). Le détenteur des données doit donc respecter simultanément les obligations d’accès du Data Act et les principes du RGPD, notamment la minimisation, la limitation des finalités et les droits des personnes concernées.

Articles lies

Data Act

Portabilite cloud : les nouvelles obligations du Data Act

12 mars 2026 · 10 min
Data Act

Data Act vs RGPD : différences, interactions et hiérarchie

26 fevrier 2026 · 9 min
Data Act

Data Act et API : obligations de mise a disposition des données

23 fevrier 2026 · 9 min