Preparer votre organisation au Data Act : plan d’action

Le Data Act (reglement (UE) 2023/2854) est applicable depuis le 12 septembre 2025, avec des echeances differees pour certaines obligations. Pourtant, de nombreuses organisations n’ont pas encore acheve leur mise en conformite. Ce retard s’explique par la complexite du texte, la transversalite des sujets qu’il couvre et l’absence de jurisprudence interpretative. Le present article propose un plan d’action structure en six phases pour organiser la mise en conformite de votre organisation.

Phase 1 : Diagnostic et cartographie (mois 1 a 2)

Identifier les produits connectes concernes

La premiere etape consiste a dresser l’inventaire exhaustif des produits connectes et des services connexes que votre organisation met sur le marche, exploite ou utilise. Le Data Act definit le produit connecte comme un bien qui obtient, genere ou collecte des donnees concernant son utilisation ou son environnement et qui est capable de communiquer ces donnees via un service de communication electronique.

Cet inventaire doit couvrir :

• Les produits connectes fabriques et commercialises par votre organisation (position de detenteur des donnees).
• Les produits connectes utilises par votre organisation dans le cadre de ses activites (position d’utilisateur).
• Les services connexes fournis en lien avec des produits connectes (applications mobiles, plateformes cloud, services de maintenance).

Cartographier les flux de donnees

Pour chaque produit identifie, il convient de cartographier les flux de donnees : nature des donnees generees, volumes, frequence de generation, lieux de stockage, destinataires actuels, mecanismes d’acces existants. Cette cartographie constitue le socle sur lequel repose l’ensemble du plan de conformite.

La cartographie doit distinguer les donnees personnelles des donnees non personnelles, les donnees brutes des donnees derivees ou inferees, et les donnees relevant du secret d’affaires. Cette distinction est fondamentale car elle determine le regime juridique applicable a chaque categorie.

Evaluer l’ecart de conformite

Sur la base de l’inventaire et de la cartographie, il convient de realiser une analyse d’ecart (gap analysis) entre la situation actuelle et les exigences du Data Act. Cette analyse porte sur les dimensions suivantes :

• Dimension technique : les produits permettent-ils l’acces aux donnees dans les conditions prevues par le reglement (acces facile, gratuit, continu, en temps reel) ?
• Dimension contractuelle : les contrats en vigueur avec les utilisateurs, les tiers et les partenaires sont-ils conformes au test d’equite de l’article 13 et aux exigences de l’article 9 ?
• Dimension organisationnelle : l’organisation dispose-t-elle des processus, des competences et de la gouvernance necessaires ?
• Dimension juridique : les obligations croisees avec le RGPD sont-elles identifiees et traitees ?

Phase 2 : Gouvernance et organisation (mois 2 a 3)

Designer les responsables

La mise en conformite au Data Act ne peut etre portee par une seule direction. Elle requiert une gouvernance transversale associant au minimum :

• La direction juridique, pour l’interpretation du reglement et l’adaptation des contrats.
• La direction des systemes d’information, pour les developpements techniques.
• La direction produit, pour l’integration des exigences dans la conception des produits.
• Le DPO, pour la coordination avec le RGPD.
• La direction commerciale, pour la communication aupres des clients et partenaires.

Il est recommande de designer un chef de projet Data Act charge de coordonner l’ensemble des chantiers et de rendre compte a la direction generale.

Definir la feuille de route

Sur la base du diagnostic, il convient de definir une feuille de route priorisee en tenant compte du calendrier d’application du Data Act, des risques identifies et des ressources disponibles. Les priorites doivent etre etablies en fonction de :

• L’exposition au risque : les produits generant des volumes importants de donnees personnelles ou destines a un grand nombre d’utilisateurs doivent etre traites en priorite.
• L’echeance reglementaire applicable : les nouveaux produits sont soumis aux obligations depuis septembre 2025, les produits existants le seront a compter de septembre 2026.
• La complexite technique : certains developpements (API, mecanismes d’interoperabilite) necessitent des delais importants.

Budgeter le projet

La mise en conformite au Data Act represente un investissement significatif dont l’ampleur depend de la taille de l’organisation, du nombre de produits connectes concernes et de l’ecart de conformite mesure. Les postes de depenses principaux incluent :

• Le developpement et la maintenance des interfaces d’acces aux donnees.
• L’adaptation des systemes d’information et des infrastructures de stockage.
• L’audit et la revision des contrats.
• La formation des equipes.
• L’accompagnement juridique et technique externe.

Phase 3 : Adaptation technique (mois 3 a 8)

Concevoir l’architecture d’acces aux donnees

Le Data Act impose une obligation de conception accessible (design for access) qui conditionne l’architecture technique des produits. Pour chaque produit connecte, il convient de definir :

• Les interfaces d’acces aux donnees : API RESTful, protocoles IoT (MQTT, CoAP), portails de telechargement.
• Les formats de donnees : JSON, XML, CSV ou autre format structure conforme aux exigences d’interoperabilite.
• Les mecanismes d’authentification et d’autorisation : OAuth 2.0, certificats clients, gestion des roles.
• Les mecanismes de filtrage : separation des donnees personnelles et non personnelles, exclusion des secrets d’affaires.

Developper et tester les interfaces

Le developpement des interfaces d’acces doit suivre les bonnes pratiques de l’ingenierie logicielle :

• Specification fonctionnelle et technique detaillee.
• Developpement iteratif avec tests unitaires et tests d’integration.
• Tests de charge pour garantir la capacite de l’infrastructure a traiter les volumes de requetes prevus.
• Tests de securite (tests d’intrusion, analyse de vulnerabilites) conformes aux recommandations de l’ANSSI.
• Documentation technique complete conforme aux specifications OpenAPI.

Mettre en place la journalisation et le monitoring

Chaque acces aux donnees et chaque transmission a un tiers doivent etre journalises pour assurer la tracabilite des operations et permettre le controle de conformite. Le systeme de journalisation doit enregistrer au minimum : l’identite du demandeur, la date et l’heure de l’acces, la nature des donnees transmises, la base legale du traitement le cas echeant.

Phase 4 : Adaptation contractuelle (mois 3 a 6)

Auditer les contrats existants

L’ensemble des contrats portant sur l’acces aux donnees ou la fourniture de produits connectes doit etre audite au regard des exigences du Data Act, et notamment :

• Les conditions generales de vente et d’utilisation des produits connectes.
• Les contrats de licence des services connexes.
• Les contrats de partage de donnees avec des tiers.
• Les contrats avec les fournisseurs cloud et les prestataires de services de donnees.

Cet audit doit s’attacher a identifier les clauses potentiellement abusives au sens de l’article 13, les clauses de compensation non conformes a l’article 9 et les clauses restreignant indument les droits de l’utilisateur.

Rediger les nouvelles clauses

Les clauses contractuelles doivent etre adaptees ou redigees pour couvrir :

• Les modalites d’acces aux donnees par l’utilisateur (delais, formats, canaux).
• Les conditions de partage des donnees avec des tiers.
• Les conditions de compensation exigibles des tiers.
• Les mesures de protection des secrets d’affaires.
• Les obligations de securite et de confidentialite.
• Les responsabilites respectives des parties.

Il est recommande de s’appuyer sur les clauses contractuelles types publiees par la Commission europeenne comme base de redaction.

Adapter les mentions d’information

Les informations prealables destinees aux utilisateurs (article 3, paragraphe 2) doivent etre redigees et integrees dans la documentation commerciale et contractuelle. Ces informations doivent etre fournies de maniere claire, comprehensible et facilement accessible avant la conclusion du contrat d’achat ou de location du produit connecte.

Phase 5 : Formation et sensibilisation (mois 4 a 6)

Former les equipes cles

La formation doit etre differenciee selon les populations :

• Equipes juridiques : interpretation du reglement, articulation avec le RGPD et le droit national, gestion des contentieux.
• Equipes techniques : exigences de conception accessible, standards d’interoperabilite, securite des interfaces d’acces.
• Equipes commerciales : communication aupres des clients, gestion des demandes d’acces, explication des conditions de compensation.
• Equipes support : traitement des demandes d’acces et de partage, escalade des situations complexes.

Sensibiliser la direction generale

La direction generale doit etre sensibilisee aux enjeux strategiques du Data Act : impact sur les modeles economiques fondes sur les donnees, risques juridiques et financiers en cas de non-conformite, opportunites liees a la valorisation des donnees dans un cadre reglementaire clarifie.

Phase 6 : Controle et amelioration continue (a partir du mois 6)

Mettre en place des indicateurs de suivi

La conformite au Data Act n’est pas un projet ponctuel mais un processus continu. Des indicateurs de performance doivent etre definis et suivis regulierement :

• Nombre de demandes d’acces recues et traitees.
• Delais de traitement des demandes.
• Nombre de demandes de partage avec des tiers.
• Taux de disponibilite des interfaces d’acces aux donnees.
• Nombre de reclamations et de litiges lies a l’acces aux donnees.

Realiser des audits periodiques

Des audits de conformite periodiques doivent etre conduits pour verifier le maintien de la conformite dans le temps. Ces audits couvrent les dimensions technique (fonctionnement des interfaces, securite), contractuelle (conformite des clauses), organisationnelle (procedures internes, formation) et juridique (evolution de la reglementation, jurisprudence).

Assurer une veille reglementaire

Le cadre reglementaire applicable aux donnees evolue rapidement. Les organisations doivent assurer une veille sur les actes delegues et d’execution de la Commission europeenne, les normes harmonisees adoptees par les organismes de normalisation, la jurisprudence de la Cour de justice de l’Union europeenne, les lignes directrices des autorites nationales et du CEPD, et les evolutions legislatives nationales.

Les erreurs a eviter

L’experience des mises en conformite precedentes (RGPD, NIS2) permet d’identifier les erreurs les plus frequentes :

1. Sous-estimer la transversalite du projet et le confier a une seule direction.
2. Reporter la mise en conformite en attendant la jurisprudence, alors que les obligations sont deja applicables.
3. Se limiter a une approche contractuelle sans traiter la dimension technique.
4. Ignorer l’articulation avec le RGPD, source de risques juridiques majeurs.
5. Negliger la formation des equipes operationnelles.

FAQ

Quel budget prevoir pour la mise en conformite au Data Act ?

Le budget depend de la taille de l’organisation, du nombre de produits connectes concernes et du niveau de maturite existant. Pour une ETI fabricant de plusieurs gammes de produits connectes, le budget de mise en conformite peut representer de 200 000 a 800 000 euros sur deux ans, incluant les developpements techniques, l’adaptation contractuelle et l’accompagnement juridique. Les grands groupes industriels peuvent depasser le million d’euros. Ces couts doivent etre mis en perspective avec le risque de sanctions et la perte de competitivite en cas de non-conformite.

Qui doit piloter le projet de mise en conformite Data Act dans l’organisation ?

Le projet doit etre pilote par un chef de projet transversal, rattache a la direction generale ou a une direction transversale (direction de la conformite, direction de la strategie numerique). La collaboration etroite avec le DPO est indispensable pour assurer la coherence avec la conformite RGPD. Dans les organisations disposant deja d’une gouvernance des donnees structuree (Chief Data Officer), cette fonction constitue le point d’ancrage naturel du projet.

Les PME sont-elles egalement concernees par le Data Act ?

Oui, les PME sont concernees par le Data Act, qu’elles soient en position de fabricant de produits connectes, d’utilisateur ou de tiers destinataire des donnees. Cependant, le reglement prevoit des amenagements specifiques : les micro et petites entreprises fabricantes sont exemptees de certaines obligations lorsque le produit connecte est accessoire a leur activite principale (article 7). En position de tiers destinataire, les PME beneficient d’un plafonnement de la compensation aux couts directs (article 9, paragraphe 2). Ces exemptions ne dispensent toutefois pas les PME de respecter les obligations fondamentales du reglement.