Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Vendredi 17 avril 2026
Accueil/Data Act/Propriété des données IoT : qui possede les données générées...
Data Act

Propriété des données IoT : qui possede les données générées par vos objets connectés ?

Le Data Act redéfinit l'accès aux données IoT. Mais a qui appartiennent ces données ? Analyse juridique et pratique.

Par Thiébaut DevergrannePublie le 22 fevrier 2026Mis a jour le 22 fevrier 20268 min de lecture
Sommaire
  1. L’état du droit avant le Data Act
  2. L’approche du Data Act : des droits d’accès, pas de propriété
  3. La question non résolue de la propriété des données IoT
  4. Les implications pratiques
  5. Vers une resolution du débat ?
  6. FAQ

Les objets connectés generent des volumes massifs de données : capteurs industriels, véhicules autonomes, dispositifs médicaux, électroménager intelligent, équipements agricoles de précision. Mais a qui “appartiennent” ces données ? Au fabricant de l’objet, qui a conçu le système de collecte ? À l’utilisateur, qui génère les données par son usage ? Au fournisseur de services, qui les traité et les exploite ? Le Data Act (règlement (UE) 2023/2854), entre en application le 12 septembre 2025, apporté des réponses partielles à cette question en créant des droits d’accès et de partagé. Mais il ne resout pas la question fondamentale de la propriété. Cette ambiguïté délibérée mérite une analyse approfondie.

L’état du droit avant le Data Act

L’absence de droit de propriété sur les données

Le droit européen n’a jamais consacré de droit de propriété sur les données en tant que telles. Ni la directive 96/9/CE sur les bases de données (qui protégé l’investissement du producteur de la base, non les données individuelles), ni le RGPD (qui confère des droits de contrôle sur les données personnelles sans créer de propriété), ni aucun autre texte européen ne qualifié les données de biens susceptibles d’appropriation.

Cette absence a longtemps été compensee par des mécanismes contractuels : les fabricants de produits connectés stipulaient dans leurs conditions générales que les données générées par leurs produits leur appartenaient ou qu’ils en avaient l’usage exclusif. L’utilisateur, qui avait acheté le produit, se trouvait privé de l’accès aux données générées par son propre usage – un déséquilibre que la Commission européenne a jugé inacceptable.

La captation des données par les fabricants

Avant le Data Act, les fabricants captaient systématiquement les données via des flux vers leurs serveurs cloud, sans que l’utilisateur n’y ait accès. Cette captation reposait sur une asymétrie technique (le fabricant conçoit le système de collecte) et contractuelle (les conditions générales excluaient l’accès de l’utilisateur), concentrant les données IoT entre un nombre restreint d’acteurs.

L’approche du Data Act : des droits d’accès, pas de propriété

Le choix delibere du législateur

Le Data Act a explicitement écarte l’option d’un “droit de propriété des données” au profit d’un cadre fondé sur l’accès et le partagé – en raison de la difficulté de déterminer le “propriétaire” de données générées par l’interaction utilisateur-produit, et de l’incompatibilité d’un droit exclusif avec les objectifs d’ouverture.

Comme nous l’analysons dans notre these de doctorat sur la propriété informatique (T. Devergranne, Paris II), ce choix révèle une tension profonde. Les biens informatiques possèdent une dimension corporelle qui pourrait fonder des droits de propriété : materialisation physique, occupation d’espace de stockage, consommation de ressources. Mais le droit européen a évolue vers un paradigme d’accès plutôt que d’appropriation.

Les droits de l’utilisateur

Le Data Act confère à l’utilisateur d’un produit connecté un ensemble de droits substantiels :

Le droit d’accès (article 4). L’utilisateur à le droit d’accéder aux données générées par l’utilisation du produit connecté, gratuitement, facilement et, le cas échéant, en continu et en temps réel. Ce droit couvre les données brutes et les metadonnees nécessaires à leur interprétation. Le fabricant doit concevoir le produit de manière a rendre cet accès effectif (obligation de design for access).

Le droit au partagé avec des tiers (article 5). L’utilisateur peut demander que ses données soient partagées avec un tiers de son choix, par exemple un réparateur indépendant, un prestataire de maintenance predictive, ou un fournisseur de services de données. Le tiers reçoit les données dans les mêmes conditions de qualité que celles dont bénéficie le fabricant.

Le droit à la portabilité. Les données doivent être fournies dans un format structuré, couramment utilise et lisible par machine, facilitant leur réutilisation par l’utilisateur ou par un tiers.

Les obligations du fabricant

Le fabricant est soumis à des obligations strictes sans être depossede : concevoir le produit pour permettre l’accès (by design), informer l’utilisateur avant l’achat, ne pas utiliser les données pour concurrencer l’utilisateur, et conserver les données suffisamment longtemps. Le secret des affaires constitue une limite : le fabricant peut refuser de communiquer certaines données spécifiques dont la divulgation porterait atteinte à ses informations confidentielles (article 4, paragraphe 8), mais cette exception doit être justifiée et proportionnée.

La question non résolue de la propriété des données IoT

L’analyse au prisme de la propriété informatique

Dans notre these de doctorat sur la propriété informatique (T. Devergranne, Paris II), nous montrons que les biens informatiques possèdent une réalité physique qui les distingué des pures informations incorporelles. Les données générées par un capteur IoT ne sont pas de simples abstractions : elles sont constituees de signaux électriques convertis en données numériques, stockées sous forme de charges électriques ou d’états magnetiques sur des supports physiques. Cette matérialité pourrait fonder une qualification de bien corporel.

La question se compliqué par la multiplicité des contributions : le fabricant a conçu les capteurs et algorithmes, l’utilisateur génère les données par son usage, et l’environnement fournit les données brutes (température, pression) qui n’appartiennent a personne. Cette multiplicité explique pourquoi le législateur a refusé de désigner un “propriétaire” unique, privilegiant une approche pragmatique par les droits d’accès.

Propriété de l’objet vs. propriété des données

La propriété de l’objet connecté (article 544 du Code civil) ne s’étend pas nécessairement aux données générées. Le Data Act resout cette difficulté en liant le droit d’accès à la qualité d’utilisateur (propriétaire, locataire ou preneur de leasing) plutôt qu’à un droit de propriété sur les données. C’est une approche fonctionnelle qui contourne le débat théorique.

Les implications pratiques

Pour les fabricants IoT

Les fabricants doivent repenser leur architecture technique pour permettre l’accès aux données (article 3 du Data Act) : API, formats d’export standardises, mécanismes d’authentification. Le modèle économique fondé sur l’exploitation exclusive des données doit être reconsidere. La conformité croisée avec le RGPD et le Cyber Resilience Act doit être assurée, les exigences de sécurité s’appliquant au produit et à ses mécanismes de collecte.

Pour les utilisateurs professionnels

Les entreprises qui utilisent des équipements IoT disposent désormais de droits d’accès ouvrant des possibilités concrètes : maintenance predictive indépendante du fabricant, optimisation des processus, et portabilité des données historiques en cas de changement de fournisseur.

L’articulation avec le RGPD

Lorsque les données IoT incluent des données personnelles, les différences entre le Data Act et le RGPD doivent être gérées. Le Data Act ne modifie pas les obligations du RGPD. Si un gestionnaire de flotte accédé aux données de conduite de ses employés via le Data Act, il reste soumis au RGPD pour le traitement de ces données personnelles.

Vers une resolution du débat ?

Le Data Act n’a pas clos le débat ; il l’a deplace. En créant des droits d’accès robustes, il a réduit l’urgence pratique de trancher la question de la propriété. Comme nous le soulignons dans notre these de doctorat sur la propriété informatique (T. Devergranne, Paris II), l’évolution du droit informatique montré une tendance constante : le droit répond aux problèmes pratiques avant de résoudre les questions theoriques. Le droit pénal a protégé les systèmes (loi Godfrain) avant que le droit civil ne qualifié les biens informatiques. Le Data Act crée des droits d’accès avant de trancher la propriété.

Mais des zones d’ombre persistent : en cas de faillite du fabricant, que deviennent les données ? Les données historiques suivent-elles l’objet en cas de revente ? Autant de questions que la jurisprudence devra eclaircir.

FAQ

A qui appartiennent les données générées par un objet connecté ?

En droit européen, il n’existe pas de droit de propriété sur les données générées par les objets connectés. Le Data Act ne tranche pas cette question mais crée des droits d’accès : l’utilisateur du produit (propriétaire, locataire, preneur de leasing) à le droit d’accéder gratuitement aux données générées par son usage et de les partager avec des tiers. Le fabricant conserve un accès aux données mais ne peut les utiliser pour concurrencer l’utilisateur. Cette approche fonctionnelle évite le débat sur la propriété en garantissant des droits effectifs d’accès et de partagé.

Le fabricant peut-il refuser de partager les données IoT avec un tiers désigné par l’utilisateur ?

Le fabricant ne peut pas refuser le partagé des données avec un tiers désigné par l’utilisateur au titre de l’article 5 du Data Act, sauf dans des cas limités. Il peut invoquer le secret des affaires pour protéger des données spécifiques dont la divulgation porterait atteinte à ses informations confidentielles, mais cette exception doit être justifiée et proportionnée. Il ne peut pas non plus invoquer des motifs commerciaux généraux pour refuser le partagé. En cas de refus injustifié, l’utilisateur peut saisir les autorités compétentes ou les tribunaux.

Comment articuler Data Act et RGPD pour les données IoT à caractère personnel ?

Les deux règlements s’appliquent cumulativement. Le Data Act crée des droits d’accès aux données IoT indépendamment de leur caractère personnel, tandis que le RGPD impose des obligations spécifiques pour les données personnelles (base légale, information, droits des personnes, sécurité). Lorsqu’un utilisateur exercé son droit d’accès Data Act et obtient des données incluant des données personnelles de tiers (employés, clients), il devient responsable de traitement au sens du RGPD pour les traitements ultérieurs de ces données. Les différences entre Data Act et RGPD doivent être intégrées dans la politique de conformité de l’organisation.

Articles lies

Data Act

Portabilite cloud : les nouvelles obligations du Data Act

12 mars 2026 · 10 min
Data Act

Data Act vs RGPD : différences, interactions et hiérarchie

26 fevrier 2026 · 9 min
Data Act

Data Act et API : obligations de mise a disposition des données

23 fevrier 2026 · 9 min