Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Vendredi 17 avril 2026
Accueil/Data Act/Préparer votre organisation au Data Act : plan d'action
Data Act

Préparer votre organisation au Data Act : plan d'action

Plan d'action opérationnel pour préparer votre organisation au Data Act. Étapes de mise en conformité, gouvernance et echances clés.

Par Thiébaut DevergrannePublie le 20 fevrier 2026Mis a jour le 20 fevrier 202610 min de lecture
Sommaire
  1. Phase 1 : Diagnostic et cartographie (mois 1 à 2)
  2. Phase 2 : Gouvernance et organisation (mois 2 à 3)
  3. Phase 3 : Adaptation technique (mois 3 à 8)
  4. Phase 4 : Adaptation contractuelle (mois 3 à 6)
  5. Phase 5 : Formation et sensibilisation (mois 4 à 6)
  6. Phase 6 : Contrôle et amélioration continue (à partir du mois 6)
  7. Les erreurs a éviter
  8. FAQ

Le Data Act (règlement (UE) 2023/2854) est applicable depuis le 12 septembre 2025, avec des échéances différées pour certaines obligations. Pourtant, de nombreuses organisations n’ont pas encore achevé leur mise en conformité. Ce retard s’explique par la complexité du texte, la transversalité des sujets qu’il couvre et l’absence de jurisprudence interprétative. Le présent article propose un plan d’action structuré en six phases pour organiser la mise en conformité de votre organisation.

Phase 1 : Diagnostic et cartographie (mois 1 à 2)

Identifier les produits connectés concernés

La première étape consiste à dresser l’inventaire exhaustif des produits connectés et des services connexes que votre organisation met sur le marché, exploite ou utilise. Le Data Act définit le produit connecté comme un bien qui obtient, génère ou collecté des données concernant son utilisation ou son environnement et qui est capable de communiquer ces données via un service de communication électronique.

Cet inventaire doit couvrir :

  • Les produits connectés fabriques et commercialises par votre organisation (position de détenteur des données).
  • Les produits connectés utilisés par votre organisation dans le cadre de ses activités (position d’utilisateur).
  • Les services connexes fournis en lien avec des produits connectés (applications mobiles, plateformes cloud, services de maintenance).

Cartographier les flux de données

Pour chaque produit identifié, il convient de cartographier les flux de données : nature des données générées, volumes, fréquence de génération, lieux de stockage, destinataires actuels, mécanismes d’accès existants. Cette cartographie constitue le socle sur lequel repose l’ensemble du plan de conformité.

La cartographie doit distinguer les données personnelles des données non personnelles, les données brutes des données dérivées ou inférées, et les données relevant du secret d’affaires. Cette distinction est fondamentale car elle détermine le régime juridique applicable à chaque catégorie.

Évaluer l’écart de conformité

Sur la base de l’inventaire et de la cartographie, il convient de réaliser une analyse d’écart (gap analysis) entre la situation actuelle et les exigences du Data Act. Cette analyse porte sur les dimensions suivantes :

  • Dimension technique : les produits permettent-ils l’accès aux données dans les conditions prévues par le règlement (accès facile, gratuit, continu, en temps réel) ?
  • Dimension contractuelle : les contrats en vigueur avec les utilisateurs, les tiers et les partenaires sont-ils conformes au test d’équité de l’article 13 et aux exigences de l’article 9 ?
  • Dimension organisationnelle : l’organisation dispose-t-elle des processus, des compétences et de la gouvernance nécessaires ?
  • Dimension juridique : les obligations croisées avec le RGPD sont-elles identifiées et traitées ? La mise en conformité RGPD doit être coordonnée avec celle du Data Act.

Phase 2 : Gouvernance et organisation (mois 2 à 3)

Désigner les responsables

La mise en conformité au Data Act ne peut être portée par une seule direction. Elle requiert une gouvernance transversale associant au minimum :

  • La direction juridique, pour l’interprétation du règlement et l’adaptation des contrats.
  • La direction des systèmes d’information, pour les développements techniques.
  • La direction produit, pour l’intégration des exigences dans la conception des produits.
  • Le DPO, pour la coordination avec le RGPD.
  • La direction commerciale, pour la communication auprès des clients et partenaires.

Il est recommandé de désigner un chef de projet Data Act charge de coordonner l’ensemble des chantiers et de rendre compte à la direction générale.

Définir la feuille de route

Sur la base du diagnostic, il convient de définir une feuille de route priorisée en tenant compte du calendrier d’application du Data Act, des risques identifiés et des ressources disponibles. Les priorités doivent être établies en fonction de :

  • L’exposition au risque : les produits générant des volumes importants de données personnelles ou destinés à un grand nombre d’utilisateurs doivent être traités en priorité.
  • L’échéance réglementaire applicable : les nouveaux produits sont soumis aux obligations depuis septembre 2025, les produits existants le seront à compter de septembre 2026.
  • La complexité technique : certains développements (API, mécanismes d’interopérabilité) nécessitent des délais importants.

Budgeter le projet

La mise en conformité au Data Act représente un investissement significatif dont l’ampleur dépend de la taille de l’organisation, du nombre de produits connectés concernés et de l’écart de conformité mesure. Les postes de dépenses principaux incluent :

  • Le développement et la maintenance des interfaces d’accès aux données.
  • L’adaptation des systèmes d’information et des infrastructures de stockage.
  • L’audit et la révision des contrats.
  • La formation des équipes.
  • L’accompagnement juridique et technique externe.

Phase 3 : Adaptation technique (mois 3 à 8)

Concevoir l’architecture d’accès aux données

Le Data Act impose une obligation de conception accessible (design for access) qui conditionne l’architecture technique des produits. Pour chaque produit connecté, il convient de définir :

  • Les interfaces d’accès aux données : API RESTful, protocoles IoT (MQTT, CoAP), portails de téléchargement.
  • Les formats de données : JSON, XML, CSV ou autre format structuré conforme aux exigences d’interopérabilité.
  • Les mécanismes d’authentification et d’autorisation : OAuth 2.0, certificats clients, gestion des rôles.
  • Les mécanismes de filtrage : séparation des données personnelles et non personnelles, exclusion des secrets d’affaires.

Developper et tester les interfaces

Le développement des interfaces d’accès doit suivre les bonnes pratiques de l’ingénierie logicielle :

  • Spécification fonctionnelle et technique détaillée.
  • Développement iteratif avec tests unitaires et tests d’intégration.
  • Tests de charge pour garantir la capacité de l’infrastructure a traiter les volumes de requêtes prévus.
  • Tests de sécurité (tests d’intrusion, analyse de vulnérabilités) conformes aux recommandations de l’ANSSI.
  • Documentation technique complète conforme aux spécifications OpenAPI.

Mettre en place la journalisation et le monitoring

Chaque accès aux données et chaque transmission à un tiers doivent être journalises pour assurer la traçabilité des opérations et permettre le contrôle de conformité. Le système de journalisation doit enregistrer au minimum : l’identité du demandeur, la date et l’heure de l’accès, la nature des données transmises, la base légale du traitement le cas échéant.

Phase 4 : Adaptation contractuelle (mois 3 à 6)

Auditer les contrats existants

L’ensemble des contrats portant sur l’accès aux données ou la fourniture de produits connectés doit être audité au regard des exigences du Data Act, et notamment :

  • Les conditions générales de vente et d’utilisation des produits connectés.
  • Les contrats de licence des services connexes.
  • Les contrats de partagé de données avec des tiers.
  • Les contrats avec les fournisseurs cloud et les prestataires de services de données.

Cet audit doit s’attacher a identifier les clauses potentiellement abusives au sens de l’article 13, les clauses de compensation non conformes à l’article 9 et les clauses restreignant indûment les droits de l’utilisateur.

Rédiger les nouvelles clauses

Les clauses contractuelles doivent être adaptées ou rédigées pour couvrir :

  • Les modalités d’accès aux données par l’utilisateur (délais, formats, canaux).
  • Les conditions de partagé des données avec des tiers.
  • Les conditions de compensation exigibles des tiers.
  • Les mesures de protection des secrets d’affaires.
  • Les obligations de sécurité et de confidentialité.
  • Les responsabilités respectives des parties.

Il est recommandé de s’appuyer sur les clauses contractuelles types publiées par la Commission européenne comme base de rédaction.

Adapter les mentions d’information

Les informations préalables destinées aux utilisateurs (article 3, paragraphe 2) doivent être rédigées et intégrées dans la documentation commerciale et contractuelle. Ces informations doivent être fournies de manière claire, compréhensible et facilement accessible avant la conclusion du contrat d’achat ou de location du produit connecté.

Phase 5 : Formation et sensibilisation (mois 4 à 6)

Former les équipes clés

La formation doit être différenciée selon les populations :

  • Equipes juridiques : interprétation du règlement, articulation avec le RGPD et le droit national, gestion des contentieux.
  • Equipes techniques : exigences de conception accessible, standards d’interopérabilité, sécurité des interfaces d’accès.
  • Equipes commerciales : communication auprès des clients, gestion des demandes d’accès, explication des conditions de compensation.
  • Equipes support : traitement des demandes d’accès et de partagé, escalade des situations complexes.

Sensibiliser la direction générale

La direction générale doit être sensibilisée aux enjeux stratégiques du Data Act : impact sur les modèles économiques fondés sur les données, risques juridiques et financiers en cas de non-conformité, opportunités liées à la valorisation des données dans un cadre réglementaire clarifié.

Phase 6 : Contrôle et amélioration continue (à partir du mois 6)

Mettre en place des indicateurs de suivi

La conformité au Data Act n’est pas un projet ponctuel mais un processus continu. Des indicateurs de performance doivent être définis et suivis régulièrement :

  • Nombre de demandes d’accès reçues et traitées.
  • Délais de traitement des demandes.
  • Nombre de demandes de partagé avec des tiers.
  • Taux de disponibilité des interfaces d’accès aux données.
  • Nombre de réclamations et de litiges lies à l’accès aux données.

Réaliser des audits périodiques

Des audits de conformité périodiques doivent être conduits pour vérifier le maintien de la conformité dans le temps. Ces audits couvrent les dimensions technique (fonctionnement des interfaces, sécurité), contractuelle (conformité des clauses), organisationnelle (procédures internes, formation) et juridique (évolution de la réglementation, jurisprudence).

Assurer une veille réglementaire

Le cadre réglementaire applicable aux données évolue rapidement. Les organisations doivent assurer une veille sur les actes délégués et d’exécution de la Commission européenne, les normes harmonisées adoptées par les organismes de normalisation, la jurisprudence de la Cour de justice de l’Union européenne, les lignes directrices des autorités nationales et du CEPD, et les évolutions législatives nationales.

Les erreurs a éviter

L’expérience des mises en conformité précédentes (RGPD, NIS2) permet d’identifier les erreurs les plus fréquentes :

  1. Sous-estimer la transversalité du projet et le confier à une seule direction.
  2. Reporter la mise en conformité en attendant la jurisprudence, alors que les obligations sont déjà applicables.
  3. Se limiter à une approche contractuelle sans traiter la dimension technique.
  4. Ignorer l’articulation avec le RGPD, source de risques juridiques majeurs.
  5. Négliger la formation des équipes opérationnelles.

FAQ

Quel budget prévoir pour la mise en conformité au Data Act ?

Le budget dépend de la taille de l’organisation, du nombre de produits connectés concernés et du niveau de maturité existant. Pour une ETI fabricant de plusieurs gammes de produits connectés, le budget de mise en conformité peut représenter de 200 000 à 800 000 euros sur deux ans, incluant les développements techniques, l’adaptation contractuelle et l’accompagnement juridique. Les grands groupes industriels peuvent dépasser le million d’euros. Ces coûts doivent être mis en perspective avec le risque de sanctions et la perte de compétitivité en cas de non-conformité.

Qui doit piloter le projet de mise en conformité Data Act dans l’organisation ?

Le projet doit être piloté par un chef de projet transversal, rattaché à la direction générale ou à une direction transversale (direction de la conformité, direction de la stratégie numérique). La collaboration étroite avec le DPO est indispensable pour assurer la cohérence avec la conformité RGPD. Dans les organisations disposant déjà d’une gouvernance des données structurée (Chief Data Officer), cette fonction constitue le point d’ancrage naturel du projet.

Les PME sont-elles également concernées par le Data Act ?

Oui, les PME sont concernées par le Data Act, qu’elles soient en position de fabricant de produits connectés, d’utilisateur ou de tiers destinataire des données. Cependant, le règlement prévoit des aménagements spécifiques : les micro et petites entreprises fabricantes sont exemptees de certaines obligations lorsque le produit connecté est accessoire à leur activité principale (article 7). En position de tiers destinataire, les PME bénéficient d’un plafonnement de la compensation aux coûts directs (article 9, paragraphe 2). Ces exemptions ne dispensent toutefois pas les PME de respecter les obligations fondamentales du règlement.

Articles lies

Data Act

Portabilite cloud : les nouvelles obligations du Data Act

12 mars 2026 · 10 min
Data Act

Data Act vs RGPD : différences, interactions et hiérarchie

26 fevrier 2026 · 9 min
Data Act

Data Act et API : obligations de mise a disposition des données

23 fevrier 2026 · 9 min